Petr Škuta Cách đây không lâu, trên Internet đã xảy ra một vụ bê bối về việc nghe lén người dùng. Loa thông minh của Amazon và Google đóng vai trò dẫn đầu. Giờ đây hóa ra nhiều ứng dụng của bên thứ ba còn có thể làm được nhiều hơn thế.
Loa thông minh của Amazon và Google khác gì Apple HomePod một lần chức năng thiết yếu. Chúng cho phép các ứng dụng của bên thứ ba sử dụng phần cứng của thiết bị. Do đó, các kỹ sư phần mềm của cả hai công ty tiến hành một cuộc chiến bất tận với tin tặc, những kẻ luôn đi trước một bước.
Chuyên gia bảo mật chia sẻ với máy chủ ZDNet về những phát hiện của họ Toàn bộ cuộc tấn công nhằm vào người dùng bao gồm việc sử dụng một lỗ hổng đơn giản trong hoạt động của hệ điều hành loa có micrô tích hợp.
Điều này là do các ứng dụng của bên thứ ba chỉ có khả năng truy cập micrô của người nói trong một khoảng thời gian giới hạn. Tuy nhiên, có một tùy chọn để kéo dài thời gian này trong trường hợp không thể hiểu được lệnh của người dùng. Và đây chính xác là con đường mà hacker sử dụng.
Đã xảy ra lỗi kết nối. Vui lòng nhập mật khẩu Tài khoản Google của bạn
Hành vi tiêu chuẩn của ứng dụng gần như tương ứng với tình huống sau:
Tôi yêu cầu Alexa thêm các mặt hàng vào giỏ hàng ứng dụng của tôi từ một chuỗi cửa hàng. Ứng dụng kiểm tra lịch sử đơn hàng để so sánh thông số của hàng hóa rồi yêu cầu tôi xác nhận. Đồng thời, nó kích hoạt micro và chờ câu trả lời có hoặc không. Nếu tôi không trả lời, micrô sẽ tắt sau vài giây.
Tuy nhiên, có một cách để bỏ qua việc tắt tiếng micrô. Điều này có thể đạt được bằng một chuỗi văn bản đặc biệt "�. ” được viết vào mã ứng dụng. Điều này có thể dễ dàng tăng thời gian kích hoạt micrô từ vài giây lên lâu hơn nhiều. Do đó, ứng dụng có thể nghe lén người dùng mọi lúc.
Lựa chọn thứ hai thậm chí còn quỷ quyệt hơn. Chuỗi có thể được sử dụng và thiết lập ngay cả để xử lý lệnh âm thanh. Sau đó, ứng dụng có thể bị buộc phải yêu cầu mật khẩu, chẳng hạn như tài khoản Amazon hoặc Google. Các video dưới đây hiển thị rõ ràng toàn bộ quy trình.
Nó có thể là làm bạn hứng thú
David Hanak Trong khi đó, Apple không cho phép các ứng dụng của bên thứ ba truy cập trực tiếp vào micrô của HomePod và có lẽ sẽ không bao giờ làm như vậy ở mức độ như Amazon và Google. Tất cả các nhà phát triển phải sử dụng API đặc biệt để xử lý giọng nói. Người dùng của nó bây giờ được an toàn.
