Os problemas de falta de privacidade causados pelas colunas inteligentes já não são de agora. Lembrar-se-ão do que aconteceu ano passado com a Alexa da Amazon e com a coluna da Google. Estas foram apontadas como meio de escuta dos proprietários e até de fazerem phishing através da voz. Agora, novas investigações mostram que apareceram aplicações maliciosas para esses dispositivos e que continuam a ser aprovadas por ambas as empresas.
Fora deste esquema mantém a coluna da Apple, a HomePod. A empresa de Cupertino é “mais fechada”.
Malware nas colunas Amazon Alexa e Google Home
As duas vulnerabilidades, demonstradas nos vídeos abaixo, ocorrem porque ambas as empresas tornaram as suas colunas mais inteligentes. Assim, agora permitem que os programadores de apps de terceiros criem ferramentas ou “habilidades” para estes dispositivos. O HomePod da Apple é seguro porque a empresa não permite esse tipo de acesso de terceiros.
Segundo a ZDNET, tanto a Amazon quanto a Google implantaram contramedidas. Contudo, aparecem sempre novas formas para explorar maliciosamente os assistentes inteligentes. Nesse sentido, foram divulgadas hoje novas evidências de ataques de malware a estes dispositivos.
Foram encontrados por investigadores de segurança da Security Research Labs (SRLabs) novos vetores de phishing e de espionagem. Este são exploráveis através do backend que a Amazon e a Google oferecem aos programadores de aplicações personalizadas para Alexa ou Google Home.
Esses backends fornecem acesso às funções que os programadores podem usar para personalizar os comandos aos quais um assistente inteligente responde, e a forma como o assistente responde.
Microfones ativos podem ser a porta para espiar os utilizadores
A maneira como as aplicações de terceiros devem funcionar exige que os microfones estejam ativos por apenas um curto período de tempo após a coluna fazer uma pergunta ao utilizador.
Por exemplo, se for dito à Alexa para aceder à aplicação de supermercado e adicionar algo ao carrinho, a app irá verificar o histórico de pedidos para obter detalhes exatos do produto. Posteriormente, a Alexa vai dizer ao utilizador que encontrou o produto e pede-lhe para confirmar que aquele é o produto que pretende.
Nessa altura, o microfone do Echo Dot será ativado por um curto período de tempo, enquanto a coluna espera pelo sim ou pelo não como resposta. Contudo, se o utilizador não responder numa janela de alguns segundos, o microfone é desligado novamente.
No entanto, as apps maliciosas podem deixar o microfone ativado. Assim, têm livre acesso às conversas e podem gravar tudo o que ouvem durante mais tempo. Isso é conseguido recorrendo a uma string especial que cria uma pausa longa após uma pergunta ou confirmação, e o microfone permanece ligado durante esse tempo.
a “�.” também pode ser usada […] para ataques de escuta. No entanto, desta vez, a sequência de caracteres é usada após a aplicação maliciosa ter respondido ao comando de um utilizador.
A sequência de caracteres é usada para manter o dispositivo ativo e gravar uma conversa do utilizador, que é gravada em logs e enviada para o servidor de um atacante para processamento.
Dessa forma, as colunas inteligentes podem escutar qualquer coisa dita enquanto o microfone ainda está ligado.
HomePod da Apple só permite que as aplicações de terceiros interajam com o Siri através das próprias APIs da Apple
Pausas no diálogo induzem em erro o utilizador
Alternativamente, a pausa longa pode ser usada para iludir o utilizador. Este, na ausência de atividade, poderá pensar que já não está a interagir com a aplicação. Nesse ponto, poderá ser iniciado um ataque de phishing.
A ideia é dizer ao utilizador que uma aplicação falhou, insira o “�” para induzir uma pausa longa e, em seguida, avise o utilizador com a mensagem de phishing após alguns minutos, levando o alvo a acreditar que a mensagem de phishing não tem nada a ver com a aplicação anterior com o qual ele simplesmente interagiu.
Conforme podemos nos vídeos a seguir, uma aplicação de horóscopo dispara um erro, mas depois permanece ativa e, eventualmente, pede ao utilizador a sua palavra-passe do serviço Amazon/Google enquanto finge uma mensagem de atualização do próprio Amazon/Google.
Esse tipo de ataque não seria possível no HomePod. A única maneira de uma aplicação de terceiros interagir com o Siri é através das próprias APIs da Apple. Portanto, a Apple não permite que as aplicações tenham acesso direto.