Bereits im Oktober haben Forscher von SRLabs gezeigt, wie Sie das Verhalten intelligenter Lautsprecher in Amazon Echo und Google Home ändern können, um Gespräche oder sogar Phishing-Passwörter (
Nachrichten ,
Nachforschungen ) zu belauschen. Für letztere gibt es sogar einen speziellen Begriff - Vishing, auch bekannt als Voice Phishing, das heißt Phishing, bei dem das Opfer seine Geheimnisse mit seiner Stimme teilt.
Für den Angriff wurde die Standardfunktionalität der Spalten verwendet, nämlich die Möglichkeit, Mini-Anwendungen (sogenannte Skills oder Actions) zu installieren. Eine hypothetische App, die ein frisches Horoskop
mit menschlicher Stimme vorliest, kann nach einer Sicherheitsüberprüfung geändert werden. Mithilfe von Sonderzeichen und gefälschten technischen Nachrichten können Sie vorgeben, dass die Anwendung nicht mehr funktioniert, obwohl alle Konversationen und Befehle für einige Zeit aufgezeichnet, entschlüsselt und an den Server des Angreifers gesendet werden.
Zwei Monate später berichteten die Forscher
, dass die Probleme nicht behoben wurden. Während der Studie wurden "böswillige" Anwendungen in den "App Store" von Smart Speakern hochgeladen. Die Ergebnisse wurden an Amazon und Google übertragen. Anschließend wurden die Anwendungen gelöscht. SRLabs konnte sie jedoch problemlos erneut herunterladen und den Test bestehen. Die Situation erinnert an das Problem mit bösartigen Anwendungen für normale Smartphones im Google Play Store und im Apple App Store: Die Taktik ist dieselbe, nur die Methoden des Social Engineering unterscheiden sich geringfügig. In jedem Fall ist dies ein interessantes Beispiel für die Entwicklung von Angriffen unter Berücksichtigung des Erscheinungsbilds von Geräten, die die Besitzer ständig belauschen und ausspionieren.
Der Angriff läuft am Beispiel von Amazon Echo wie folgt ab. Es wird ein legitimer Antrag erstellt, der das Audit des Herstellers besteht. Danach ändert sich die Funktionalität der Anwendung, Amazon betrachtet dies jedoch nicht als Grund für einen erneuten Test. Eine Begrüßungsnachricht wird ersetzt: Beim Start teilt die Anwendung dem Benutzer mit, dass ein Fehler aufgetreten ist. Beispiel: "Diese Fähigkeit ist in Ihrem Land nicht verfügbar." Das Opfer ist sich sicher, dass die Anwendung die Arbeit beendet hat, aber tatsächlich versucht die App, die Spalte zu zwingen, eine Phrase auszusprechen, die aus Sonderzeichen besteht (genauer gesagt aus einer Folge von U + D801-Zeichen, die oft kopiert wurden). In der Spalte "Stille ausdrücken" wird bereits eine Phishing-Nachricht abgespielt: "Ein System-Update ist verfügbar. Bitte geben Sie Ihr Passwort an."
Bei der zweiten Variante des Angriffs werden auch Sonderzeichen verwendet, die in der Spalte „ausgesprochen“ werden sollen, aber statt Phishing wird abgehört. Bei Google Home ist das Szenario dasselbe, nur dass die Dauer des Abhörens weniger eingeschränkt ist.
Offensichtlich gibt es zwei Probleme. Erstens erfordert eine wesentliche Änderung der Funktionalität keine Überprüfung, und im Allgemeinen ist die Überprüfung der „Fähigkeiten“ von Drittanbietern nicht so streng. Zweitens versucht die Spalte, unlesbare Zeichen zu reproduzieren, obwohl in einer idealen Situation eine solche Funktionalität blockiert werden sollte.
Die Situation mit dem Ökosystem der Anwendungen für Smartphones wiederholt sich: Zu Beginn der Entwicklung der Plattform erhalten Entwickler völlige Handlungsfreiheit, die Kontrolle über die Anwendungsfunktionalität wird minimiert und Angreifer haben wenig Interesse an Angriffen auf Gerätebenutzer. Mit der Zeit nimmt die Anzahl der Angriffe zu, die Sicherheitsmechanismen werden erweitert und die Anforderungen an Entwickler werden verschärft.
In den Medien wurde kürzlich ein verwandtes Thema ausführlich diskutiert: Es gab
zwei Fälle von unbefugtem Zugriff auf die Amazon Ring-IP-Kamera, die in der Regel nur aus Sicherheitsgründen gekauft wurden. Beide Fälle waren höchstwahrscheinlich auf ein gehacktes Benutzerkonto zurückzuführen (unzuverlässiges oder durchgesickertes Passwort, fehlende Zwei-Faktor-Authentifizierung). Keine komplizierten Methoden des Social Engineering: Wee-Cracker haben sich nichts Besseres ausgedacht, als über den im Gerät eingebauten Lautsprecher mit dem Opfer zu sprechen. Es scheint, dass bei einem solchen Eingriff in die Privatsphäre der Benutzer die Sicherheitsmaßnahmen strenger sein sollten. Eine Beispielstudie von SRLabs (und Reaktionen darauf) zeigt jedoch, dass dies nicht ganz stimmt.
Was ist noch passiert:Kritische Sicherheitslücken in den Produkten Citrix Application Delivery Controller (ehemals NetScaler ADC) und Citrix Gateway (NetScaler Gateway). Noch keine Details, die Sicherheitsanfälligkeit ermöglicht den Remotezugriff auf das lokale Netzwerk ohne Autorisierung.
Eine detaillierte
Analyse eines relativ einfachen Betrugs mit "Abonnements für Benachrichtigungen" im Browser. Es gibt einen nicht trivialen Punkt: Für die Werbung für bösartige Websites verwendet Google die Bildersuche. Das Arbeitsschema ist wie folgt: Bilder für beliebte Abfragen werden auf einer Site abgelegt, gelangen in die Suchergebnisse, von dort wird der Benutzer zu einer anderen Domain weitergeleitet, stimmt Benachrichtigungen zu und vergisst dies. Nach einer Weile beginnt Spam in der Browser-Benachrichtigung zu strömen.
Eine interessante
Sicherheitslücke, die durch Kollisionen bei der Verarbeitung einiger Sonderzeichen in Unicode verursacht wird. Auf Github konnte eine Nachricht mit einem Link abgefangen werden, um das Passwort zurückzusetzen. Wir nehmen den Benutzer mit der Postanschrift mike@example.org, registrieren das Postfach mıke@example.org (achten Sie auf i ohne Punkt). Geben Sie im Formular "Passwort vergessen" diese E-Mail mit einem Sonderzeichen ein. Das System identifiziert das Benutzermikrofon, sendet jedoch eine Nachricht an das Postfach des Angreifers. Gelöst durch den Vergleich der beiden Adressen.
Die Geschichte der
zufälligen Entdeckung einer Webschnittstelle zu öffentlich zugänglichen Kiosken in Microsoft-Büros. Solche Geräte werden in der Lobby zum Planen von Terminen, zum Drucken von Ausweisen usw. verwendet und sollten in einer normalen Situation nicht über Fernzugriff verfügbar sein. Eine listige Suche auf der Microsoft-Site ergab die gewünschte URL, über die ein Treffen mit dem Generaldirektor des Unternehmens angefordert wurde. Nun, und Zugriff auf interne Daten, die ein bestimmtes Problem darstellen.
Kein Fehler, aber eine Funktion. Die Citimobil-Taxi-Service-API
funktioniert ohne Autorisierung (und ohne Anforderungslimit) und ermöglicht das Herunterladen von Daten zum Standort aller Autos und eines einzelnen Autos. Das erste ist ein Geschäftsrisiko für den Dienst selbst, da Wettbewerber die API für Informationen verwenden können. Mit der zweiten Option können Sie theoretisch sowohl den Taxifahrer als auch den Beifahrer identifizieren, wenn die Koordinaten der Abfahrt bekannt sind.
Ein weiterer
Fehler im WhatsApp Messenger: Sie können das Programm an alle Chat-Teilnehmer senden, indem Sie eine Nachricht mit geänderten Metadaten senden. Es wird gelöst, indem der Messenger neu installiert und der "betroffene" Chat beendet wird.