足りないから懸念事項最近のデジタルプライバシーに関しては、Amazon の Alexa と Google Home の両方が、ユーザーの盗聴やパスワードのフィッシングに使用される可能性のあるアプリを認めたようです。
としてアルステクニカが報じた、ドイツのセキュリティ研究所のホワイトハッカーたちは、AmazonとGoogleのそれぞれの審査プロセスに合格した、つまり一般の使用が承認されたことを意味する、デバイスごとに「スマートスパイ」と呼ばれる4つのアプリを開発した。
SRLabs は、これらの悪意のあるアプリを星占いアプリや乱数生成器などの便利なツールとして偽装しました。それらには、「スキル」(Alexa の場合)や「アクション」(Google Home の場合)のような、曖昧で一般的な名前も付けられていました。
研究者らは、盗聴用とフィッシング用の 2 種類のアプリを開発しました。
盗聴アプリは問題なく機能しますが、ここに恐ろしい部分があります。これらのアプリは、もはや実行されていないように見えるメッセージを共有した後も、ユーザーの発言をすべて記録します。
こちらが実際のAlexaスキルです。
そしてGoogle Home用に作られた乱数発生器。
マッシュ可能な光の速度
かなり不気味ですよね?そして、特にここ数か月で私たちが学んだことを考えると、懸念の原因となります。アレクサ、Googleアシスタント、 そしてアップルのSiri記録。これらの企業はいずれも、それぞれのシステムを改善し、オプトアウトを提供することを誓っていますが、問題を引き起こしているのは SRLabs のフィッシング アプリです。本当に当惑させる。
いずれの場合も、デジタル アシスタントはユーザーのリクエストにエラー メッセージを返して終了したように見えます。しかし、悪意のあるアプリは実際には、デバイスのアップデートが利用可能であると主張するまで、しばらく待機します。次に、アップデートをインストールできるようにパスワードを要求します。
賢明でセキュリティ意識の高いユーザーは、このような方法でパスワードを要求されるべきではないことを知っているため、これに警戒する必要があります。しかし、Facebook で読んだことをすべて信じてしまうあなたの親戚のように、テクノロジーに詳しくない人は騙される可能性があります。
ブログ投稿で, SRLabs は、どのようにしてハッキングが機能するようになったのかについて、いくつかの興味深い情報を共有しています。たとえば、Alexa 盗聴アプリの場合、誤った終了メッセージを送信した後、アプリは再び録音するためのトリガー ワードを必要とします。 「私」のような一般的なトリガーワードを使うのは、それほど難しいことではありません。
しかし、SRLabsは、Google Homeに対する同じハッキングの方がはるかに簡単に引き起こせることを明らかにしている。「Google Homeデバイスの場合、ハッキングはより強力です。特定のトリガーワードを指定する必要がなく、ハッカーはユーザーの会話を無限に監視できます。」
繰り返しになりますが、これらのアプリはすべて Amazon と Google の両方のモデレーション チームによって承認されていることを考えると、これは非常に憂慮すべきことです。 Ars Technica によると、上のビデオでデモされていたオリジナルの 4 つのアプリは SRLabs 自身によって削除され、同様のドイツ語の 4 つのアプリは削除されましたその後のみSRLabs は両社に脆弱性を開示しました。
Amazon の担当者は Ars Technica に対し、「当社にとって顧客の信頼は重要であり、スキル認定プロセスの一環としてセキュリティ レビューを実施しています。当社は問題のスキルをすぐにブロックし、この種のスキル動作を防止および検出するための緩和策を講じました」と述べました。特定されたら拒否するか削除してください。」
一方、Google の担当者は、「Google 上のすべてのアクションは、当社の開発者ポリシーに従う必要があり、これらのポリシーに違反するアクションは禁止および削除します。当社には、このレポートに記載されている種類の行為を検出するための審査プロセスがあり、これらの研究者から見つかったアクションを削除しました。今後これらの問題が発生するのを防ぐために、追加のメカニズムを導入しています。」
私たちはこのレポートに関するさらなるコメントを求めて Amazon と Google に連絡を取りました。
そしていつものように、誰も信用しないでください。