21 октября 2019

Появился ещё один способ прослушать пользователей Amazon Alexa и Google Home

Эксперты Security Research Labs (SRLabs) рассказали о новом методе, дающем возможность перехватывать разговоры и осуществлять фишинговые атаки.

Оба вида атак эксплуатируются через бэкенд, предоставляемый компаниями Google и Amazon разработчикам приложений Alexa и Home. Исследователи обнаружили, что путём добавления последовательности символов "э. " (U+D801, точка, пробел) в различные места в бэкенде обычного приложения Alexa или Home можно вызвать длительные периоды молчания, при которых голосовой помощник остается активен.

Хакеры могут заверить жертву, что приложение якобы перестало работать, внедрить символы и вызвать продолжительную паузу, а спустя некоторое время отправить жертве фишинговое уведомление, которое жертва никак не свяжет с «поломанным» приложением.