Onderzoekers van het Duitse Security Research Labs hebben een stunt uitgehaald: zij ontwikkelden 4 'skills' voor de Amazon Echo, de slimme luidspreker van Amazon, en eveneens 4 voor de Google Home, diens tegenvoeter van Google. Na het doorlopen van het goedkeuringsproces, belandden die in de app stores voor de Echo en de Home, maar de wetenschappers slaagden erin om de skills zodanig te veranderen dat zij de wachtwoorden van de gebruikers konden stelen via phishing.
Wanneer de gebruiker bijvoorbeeld een van de apps trigggerde en vroeg "Vraag aan mijn Lucky Horoscope om mij de horoscoop voor te lezen voor Stier", dan gaf de app dat antwoord, en werd dan stil. Maar in plaats van zich te deactiveren, gaf de app buiten deze tekst ook nog een 'stil' karakter, met name U+D801, punt, spatie, en dat zorgde ervor dat de app verder actief bleef en meeluisterde. Dat 'stille commando' plaatsten de wetenschappers erin nà de originele goedkeuring om in de app-store te komen.
Wat de apps dan begonnen te doen, na die wijziging door de wetenschappers? Zij namen alles op wat tijdens de stilte te horen viel, en maakten daarvan een transcript dat zij naar de ontwikkelaar zonden. Andere apps lieten de stilte volgen door een valse error melding , of vermeldden een valse update, waarbij de gebruiker zijn wachtwoord moest opgeven.
Tussen haakjes: de wetenschappers hebben deze ontdekking van een zwak punt op een hele faire manier behandeld: zij deden het onderzoek, merkten dat de zwakke plek inderdaad uitgevoerd kon worden, en verwijderden toen de apps. Zij verwittigden Amazon en Google van het gevaar, en die hebben ondertussen de nodige stappen genomen om te voorkomen dat andere apps een dergelijke misbruiken nog kunnen voorkomen. Meer bij Ars Technica.
https://arstechnica.com/information-technology/2019/10/alexa ...
|