Petru Škuti Ne tako dolgo nazaj se je na spletu razvnel škandal o prisluškovanju uporabnikom. Vodilno vlogo so imeli pametni zvočniki iz Amazona in Googla. Zdaj se je izkazalo, da številne aplikacije drugih proizvajalcev zmorejo še več.
Pametni zvočniki iz Amazona in Googla se razlikujejo od Applovih HomePod enkrat bistveno funkcijo. Aplikacijam tretjih oseb omogočajo uporabo strojne opreme naprave. Programski inženirji obeh podjetij tako bijejo neskončen boj s hekerji, ki so vedno korak pred njimi.
Varnostni strokovnjaki delijo s strežnikom ZDNet o svojih ugotovitvah. Celoten napad na uporabnika je sestavljen iz uporabe preproste vrzeli v delovanju operacijskega sistema zvočnika z vgrajenim mikrofonom.
To je zato, ker imajo aplikacije tretjih oseb možnost dostopa do mikrofona zvočnika samo za omejeno časovno omejitev. Obstaja pa možnost podaljšanja tega časa v primeru, da ukaza uporabnika ni bilo mogoče razumeti. In prav to pot uporabljajo hekerji.
Prišlo je do napake pri povezavi. Vnesite geslo za Google Račun
Standardno vedenje aplikacije približno ustreza naslednji situaciji:
Alexa prosim, da v nakupovalni voziček moje aplikacije doda izdelke iz verige trgovin. Aplikacija preveri zgodovino naročil, da primerja parametre blaga in me nato vpraša za potrditev. Hkrati aktivira mikrofon in čaka na odgovor da ali ne. Če se ne oglasim, se mikrofon po nekaj sekundah izklopi.
Vendar pa obstaja način, kako zaobiti izklop mikrofona. To lahko dosežete s posebnim besedilnim nizom "�. « zapisano v kodi aplikacije. To lahko preprosto poveča čas aktivacije mikrofona z nekaj sekund na veliko več. Aplikacija lahko tako uporabniku ves čas prisluškuje.
Druga možnost je še bolj zahrbtna. Niz lahko uporabite in nastavite tudi za obdelavo zvočnega ukaza. Kasneje lahko aplikacijo prisilimo, da zahteva geslo za na primer račun Amazon ali Google. Spodnji videoposnetki jasno prikazujejo celoten postopek.
Lahko bi bilo te zanima
David Hanak Medtem Apple aplikacijam tretjih oseb ne dovoljuje neposrednega dostopa do mikrofona HomePoda in verjetno nikoli ne bo v enaki meri kot Amazon in Google. Vsi razvijalci morajo uporabljati poseben API, ki obravnava glas. Njegovi uporabniki so za zdaj varni.
