Petr Škuta Πριν από λίγο καιρό, υπήρξε ένα σκάνδαλο στο Διαδίκτυο σχετικά με τις υποκλοπές χρηστών. Τα έξυπνα ηχεία από την Amazon και την Google έπαιξαν πρωταγωνιστικό ρόλο. Τώρα αποδεικνύεται ότι πολλές εφαρμογές τρίτων μπορούν να κάνουν ακόμη περισσότερα.
Τα έξυπνα ηχεία από την Amazon και την Google είναι διαφορετικά από την Apple HomePod μια φορά ουσιαστική λειτουργία. Επιτρέπουν σε εφαρμογές τρίτων να χρησιμοποιούν το υλικό της συσκευής. Οι μηχανικοί λογισμικού και των δύο εταιρειών δίνουν έτσι μια ατελείωτη μάχη με τους χάκερ, που είναι πάντα ένα βήμα μπροστά.
Οι ειδικοί σε θέματα ασφάλειας μοιράστηκαν με τον διακομιστή ZDNet για τα ευρήματά τους. Η όλη επίθεση στον χρήστη συνίσταται στη χρήση ενός απλού κενού στη λειτουργία του λειτουργικού συστήματος του ηχείου με ενσωματωμένο μικρόφωνο.
Αυτό συμβαίνει επειδή οι εφαρμογές τρίτων έχουν τη δυνατότητα πρόσβασης στο μικρόφωνο του ηχείου μόνο για περιορισμένο χρονικό όριο. Ωστόσο, υπάρχει δυνατότητα παράτασης αυτού του χρόνου σε περίπτωση που δεν ήταν δυνατή η κατανόηση της εντολής του χρήστη. Και αυτό ακριβώς είναι το μονοπάτι που χρησιμοποιούν οι χάκερ.
Παρουσιάστηκε σφάλμα σύνδεσης. Εισαγάγετε τον κωδικό πρόσβασης του Λογαριασμού σας Google
Η τυπική συμπεριφορά της εφαρμογής αντιστοιχεί κατά προσέγγιση στην ακόλουθη κατάσταση:
Ζητώ από την Alexa να προσθέσει αντικείμενα στο καλάθι αγορών της εφαρμογής μου από μια αλυσίδα καταστημάτων. Η εφαρμογή ελέγχει το ιστορικό παραγγελιών για να συγκρίνει τις παραμέτρους των προϊόντων και στη συνέχεια μου ζητά επιβεβαίωση. Ταυτόχρονα, ενεργοποιεί το μικρόφωνο και περιμένει μια απάντηση ναι ή όχι. Αν δεν απαντήσω, το μικρόφωνο σβήνει μετά από μερικά δευτερόλεπτα.
Ωστόσο, υπάρχει τρόπος να παρακάμψετε τη σίγαση του μικροφώνου. Αυτό μπορεί να επιτευχθεί με μια ειδική συμβολοσειρά κειμένου "�. " γραμμένο στον κωδικό της αίτησης. Αυτό μπορεί εύκολα να αυξήσει τον χρόνο ενεργοποίησης του μικροφώνου από μερικά δευτερόλεπτα σε πολύ περισσότερο. Η εφαρμογή μπορεί έτσι να κρυφακούει τον χρήστη όλη την ώρα.
Η δεύτερη επιλογή είναι ακόμα πιο ύπουλη. Η συμβολοσειρά μπορεί να χρησιμοποιηθεί και να ρυθμιστεί ακόμα και για την επεξεργασία μιας ακουστικής εντολής. Στη συνέχεια, η εφαρμογή μπορεί να αναγκαστεί να ζητήσει κωδικό πρόσβασης, για παράδειγμα, σε έναν λογαριασμό Amazon ή Google. Τα παρακάτω βίντεο δείχνουν ξεκάθαρα την όλη διαδικασία.
Θα μπορούσε να είναι σε ενδιαφέρει
Ντέιβιντ Χανάκ Εν τω μεταξύ, η Apple δεν επιτρέπει σε εφαρμογές τρίτων να έχουν απευθείας πρόσβαση στο μικρόφωνο του HomePod και πιθανότατα δεν θα το κάνει ποτέ στον ίδιο βαθμό όπως η Amazon και η Google. Όλοι οι προγραμματιστές πρέπει να χρησιμοποιούν ένα ειδικό API που χειρίζεται τη φωνή. Οι χρήστες του είναι ασφαλείς προς το παρόν.
