Эксперты Security Research Labs (SRLabs) рассказали о новом методе, дающем возможность перехватывать разговоры и осуществлять фишинговые атаки.
Оба вида атак эксплуатируются через бэкенд, предоставляемый компаниями Google и Amazon разработчикам приложений Alexa и Home. Исследователи обнаружили, что путём добавления последовательности символов "э. " (U+D801, точка, пробел) в различные места в бэкенде обычного приложения Alexa или Home можно вызвать длительные периоды молчания, при которых голосовой помощник остается активен.
Хакеры могут заверить жертву, что приложение якобы перестало работать, внедрить символы и вызвать продолжительную паузу, а спустя некоторое время отправить жертве фишинговое уведомление, которое жертва никак не свяжет с «поломанным» приложением.
.jpg)
.jpg)