コンテンツ
GoogleとAmazonは、音声起動のEchoおよびHomeスマートスピーカーを介してユーザーの声を聞くことを知っていました。しかし、セキュリティ研究者のグループは、サードパーティのアプリがユーザーやパスワードなどの音声フィッシングの機密情報を簡単に盗聴できることを実証しています。
ドイツのSRLabsの研究者は、Amazon AlexaとGoogle Home / Nestの両方のデバイスに対する2つのハッキングシナリオ(盗聴とフィッシング)を発見しました。彼らは8つの音声アプリ(AlexaのスキルとGoogle Homeのアクション)を作成して、これらのスマートスピーカーをスマートスパイに変えるハッキングを実証しました。 SRLabsによって作成された悪意のある音声アプリは、AmazonおよびGoogleの個別のスクリーニングプロセスを簡単に通過しました。
Amazon AlexaおよびGoogle Homeユーザーを盗聴し、それらからの情報をフィッシングするために、さまざまなアプローチが使用されました。研究者は、AmazonとGoogleがアプリを承認した後に、ハッキングのために作成したスキルとアクションの機能を変更することができました。上記の変更が行われた後、2回目のレビューは行われませんでした。
Amazon EchoおよびGoogle Homeスピーカーでの音声フィッシングパスワード
以下のビデオでは、ユーザーがAlexaにMy Lucky Horoscopeというスキルを開始するように依頼する方法を示しています。これは、SRLabsによって作成および変更された悪意のあるAlexaスキルで、パスワードをフィッシングします。
このアプリは歓迎されず、代わりに「このスキルはあなたの国では利用できません」と返信します。この時点で、ユーザーはアプリのリスニングが停止したと思いますが、実際はそうではありません。代わりに、スキルは、Alexaが発音できない文字シーケンスを言うためにハッキングされているため、スピーカーは実際に一時停止して聞いているときは沈黙しています。
その後、スキルは「Alexaデバイスの新しいアップデートが利用可能です。 Amazonがこの方法でパスワードを要求することは決してありませんが、知らないユーザーは不意を突かれる可能性があります。
Google Home Miniスピーカーの音声フィッシングパスワードにも同様のアプローチが使用されました。
Amazon EchoおよびGoogle Homeスピーカーを介したユーザーの盗聴
盗聴のために、研究者はAmazonのスマートスピーカーに同じ星占いアプリを使用しました。このアプリは、バックグラウンドで静かにリッスンしている間に、ユーザーがだまされて停止したと信じ込ませます。
Google Homeの場合、ハッキングはさらに簡単で、盗聴するためにトリガーワードを指定する必要はありませんでした。研究者たちは、この場合、ユーザーは「デバイスがハッカーのサーバーに音声入力を絶えず送信し、その間に短い無音を出力する」というループに陥っていることに注目しています。
SRLabsは、上記のビデオでデモされているすべてのアプリを削除しました。研究者はまた、調査結果をAmazonとGoogleに報告しました。
ごとに アルステクニカ、両社は、承認プロセスを変更し、将来そのようなハッキングを回避するための追加のメカニズムを採用していると答えました。
ただし、これらの問題がいつ修正されるかについて、AmazonまたはGoogleからの更新はありません。過去にスキルやアクションがこれらの抜け穴を悪用したかどうかを知る方法もありません。
