Não é de hoje que especialistas em segurança e usuários mais cautelosos se preocupam com a popularização de smart speakers como o Google Home e Amazon Echo. Agora, a divulgação de alguns vídeos bem simples e didáticos mostram que essas preocupações são mais justificadas do que gostaríamos.
O vídeo acima faz parte de uma série produzida por uma equipe alemã chamada SRLabs. Em seus vídeos, os especialistas em segurança mostram que é fácil até demais criar um app capaz de burlar a segurança tanto do Home como do Echo e usar o speaker para espionar as conversas de seus usuários.
No caso específico deste primeiro vídeo, a pessoa pede para a Alexa, pelo Echo, seu horóscopo do dia, através do app instalado My Lucky Horoscope – o app foi desenvolvido pelo próprio pessoal do SRLabs para mostrar como pode funcionar a espionagem feita por um aplicativo malicioso – A requisição é atendida e a moça chega a mandar o dispositivo “Parar”. Mas, como podemos ver na janela de programação em tempo real no canto do vídeo, o app continua funcionando, mesmo em silêncio, e ele “ouve” o que o usuário está dizendo depois e transcreve a informação, enviando-a para qualquer lugar que o desenvolvedor tenha escolhido. Isso é mostrado funcionando também no Google Home:
O “hack” é feito de maneira parecida para os dois dispositivos. Enquanto o aplicativo funciona, por trás dele há instruções que causam erro nos speakers de propósito, fazendo com que ele se mantenha funcionando mesmo em silêncio. Para o caso do app do Horóscopo, que consegue continuar operando mesmo depois de ouvir o “Pare”, isso acontece porque o aplicativo em si entende esse comando para continuar funcionando, antes da Alexa, não permitindo que o Echo encerre a função. Ele retorna automaticamente a mesma mensagem gravada da Alexa falando que o app foi encerrado, mas quem está “falando” isso é o app malicioso, não o sistema do Echo.
Esse retorno de voz gravada vindo do aplicativo se passando pelo sistema do speaker também pode ser usado para phishing, se passando pela voz do assistente da Google ou pela Alexa para pedir a senha do usuário:
A Google se pronunciou sobre o assunto para o pessoal do Ars Technica:
“Todas as ações na Google são obrigadas a seguir nossas políticas de desenvolvimento e nós proibimos e removemos qualquer Ação* que viole essas políticas. Nós temos processos de revisão que detectam o tipo de comportamento descrito nessa reportagem e nós removes as Ações que encontramos desses desenvolvedores. Nós estamos colocando mecanismos adicionais para evitar que esses problemas ocorram no futuro.“
*Ação se refere às ações do app funcionando no Google Home.
Via: Ars Technica
- Categorias
- Tags
