Petrs Škuta Ne tik sen internetā izcēlās skandāls par lietotāju noklausīšanos. Viedajiem skaļruņiem no Amazon un Google bija vadošā loma. Tagad izrādās, ka daudzas trešo pušu lietotnes var paveikt vēl vairāk.
Amazon un Google viedie skaļruņi atšķiras no Apple HomePod vienreiz būtiska funkcija. Tie ļauj trešo pušu lietojumprogrammām izmantot ierīces aparatūru. Tādējādi abu uzņēmumu programmatūras inženieri cīnās ar hakeriem, kuri vienmēr ir soli priekšā.
Dalījās drošības eksperti ar ZDNet serveri par saviem atklājumiem. Viss uzbrukums lietotājam sastāv no vienkāršas nepilnības izmantošanas skaļruņa operētājsistēmas darbībā ar iebūvētu mikrofonu.
Tas ir tāpēc, ka trešo pušu lietojumprogrammām ir iespēja piekļūt skaļruņa mikrofonam tikai ierobežotu laika ierobežojumu. Tomēr ir iespēja pagarināt šo laiku, ja nav bijis iespējams saprast lietotāja komandu. Un tieši šo ceļu izmanto hakeri.
Radās savienojuma kļūda. Lūdzu, ievadiet sava Google konta paroli
Lietojumprogrammas standarta darbība aptuveni atbilst šādai situācijai:
Es lūdzu Alexa pievienot preces manas lietotnes iepirkumu grozam no ķēdes veikala. Lietojumprogramma pārbauda pasūtījumu vēsturi, lai salīdzinātu preču parametrus un pēc tam prasa man apstiprinājumu. Tajā pašā laikā tas aktivizē mikrofonu un gaida atbildi jā vai nē. Ja neatbildu, mikrofons pēc dažām sekundēm izslēdzas.
Tomēr ir veids, kā izslēgt mikrofonu. To var panākt ar īpašu teksta virkni "�. ” ierakstīts pieteikuma kodā. Tas var viegli palielināt mikrofona aktivizēšanas laiku no dažām sekundēm līdz daudz ilgākam laikam. Tādējādi lietojumprogramma var visu laiku noklausīties lietotāju.
Otrais variants ir vēl mānīgāks. Virkni var izmantot un iestatīt pat audio instrukcijas apstrādei. Pēc tam lietojumprogramma var tikt piespiesta pieprasīt paroli, piemēram, Amazon vai Google kontam. Tālāk esošie videoklipi skaidri parāda visu procedūru.
Tas varētu būt jūs interesē
Deivids Hanaks Tikmēr Apple neļauj trešo pušu lietotnēm tieši piekļūt HomePod mikrofonam un, iespējams, nekad neļaus tādā pašā mērā kā Amazon un Google. Visiem izstrādātājiem ir jāizmanto īpaša API, kas apstrādā balsi. Tās lietotāji pagaidām ir drošībā.
