Polityka i prawo
Inteligentni asystenci mogą wyłudzać hasła?
Inteligentni asystenci - Alexa od Amazona i Google Home - mogą posłużyć do szpiegowania użytkowników i wyłudzania haseł dostępowych do kont w usługach cyfrowych z użyciem zaufanych aplikacji zewnętrznych - ostrzegają niemieccy eksperci ds. cyberbezpieczeństwa.
Specjaliści z niemieckiego Laboratorium Badań Cyberbezpieczeństwa (SRLabs) opracowali osiem aplikacji dla Aleksy i Google Home, które przeszły procedury weryfikacji oprogramowania pod kątem bezpieczeństwa dostawców obu tych produktów - Amazona i Google'a.
Stworzone przez badaczy aplikacje miały służyć rozrywce, np. sprawdzaniu horoskopów. Jedna z nich opisana została jako generator przypadkowych liczb. Wszystkie wyposażone zostały w ukryte funkcje pozwalające na podsłuchiwanie użytkowników inteligentnych asystentów i wyłudzanie ich haseł dostępowych od innych usług.
Starszy konsultant bezpieczeństwa Fabian Braeunlein w rozmowie z serwisem Ars Technica podkreślił, że "od zawsze było jasne, iż asystenci głosowi wiążą się z pewnymi zagrożeniami prywatności użytkowników. Google i Amazon rejestrują fragmenty głosu (użytkowników - PAP) i mogą włączać się przez przypadek" - zaznaczył ekspert. Jak podkreślił, celem eksperymentu jego laboratorium było wykazanie, że dostęp do danych użytkowników inteligentnych asystentów mają nie tylko wielkie firmy technologiczne, ale również hakerzy, którzy dodatkowo mogą wykorzystać te urządzenia do pozyskiwania informacji o osobach z nich korzystających.
W ramach doświadczenia przeprowadzonego przez niemiecki zespół wykazano, że aplikacje na urządzenia z inteligentnymi asystentami potrafią wbrew poleceniom od użytkowników ciągle rejestrować ich głos, a tym samym np. wszystkie prowadzone w promieniu mikrofonu gadżetu rozmowy, które następnie przesyłane są na serwery twórców oprogramowania.
Jedna z ośmiu zaprojektowanych przez badaczy aplikacji, stworzona z myślą o wyłudzaniu haseł dostępowych od użytkowników, naśladowała głos wykorzystywany zazwyczaj przez inteligentnego asystenta i informowała osoby korzystające z urządzenia o fałszywej możliwości zainstalowania aktualizacji systemowej, która wymagała podania hasła do konta użytkownika.
SRLabs poinformowało o rezultatach swojego eksperymentu Amazona i Google. W odpowiedzi obie firmy usunęły stworzone przez zespół aplikacje z dystrybucji i zapowiedziały wprowadzenie zmian w procesie weryfikacji zewnętrznego oprogramowania dla inteligentnych asystentów.