En octobre, des chercheurs de SRLabs ont montré comment changer le comportement des haut-parleurs intelligents Amazon Echo et Google Home pour écouter les conversations ou même les mots de passe de phishing (
actualités ,
recherche ). Pour ce dernier, il existe même un terme spécial - vishing, alias phishing vocal, c'est-à-dire phishing, dans lequel la victime partage ses secrets avec sa voix.
Pour l'attaque, la fonctionnalité standard des colonnes a été utilisée, à savoir la possibilité d'installer des mini-applications (appelées compétences ou actions). Une application hypothétique qui lit un nouvel horoscope à haute voix
avec une voix humaine peut être modifiée après un audit de sécurité. À l'aide de caractères spéciaux et d'usurpation de messages techniques, vous pouvez prétendre que l'application a cessé de fonctionner, bien qu'en fait, toutes les conversations et commandes soient enregistrées, déchiffrées et envoyées au serveur de l'attaquant pendant un certain temps.
Deux mois plus tard, les chercheurs ont
signalé que les problèmes n'étaient pas résolus. Au cours de l'étude, des applications «malveillantes» ont été téléchargées sur «l'app store» de haut-parleurs intelligents. Les résultats ont été transférés à Amazon et Google, après quoi les applications ont été supprimées, mais SRLabs les a à nouveau téléchargées facilement et ils ont réussi le test. La situation n'est pas sans rappeler le problème des applications malveillantes pour smartphones classiques sur le Google Play Store et l'App Store d'Apple: les tactiques sont les mêmes, seules les méthodes d'ingénierie sociale sont légèrement différentes. En tout cas, c'est un exemple intéressant de l'évolution des attaques, compte tenu de l'apparition d'appareils qui écoutent et espionnent constamment les propriétaires.
L'attaque, en utilisant Amazon Echo comme exemple, se déroule comme suit. Une application légitime est créée et réussit l'audit du fabricant. Après cela, la fonctionnalité de l'application change, mais Amazon ne considère pas cela comme une raison de retester. Un message de bienvenue est substitué: au démarrage, l'application informe l'utilisateur qu'une erreur s'est produite, par exemple: "Cette compétence n'est pas disponible dans votre pays." La victime est sûre que l'application a fini de fonctionner, mais en fait, l'application essaie de forcer la colonne à prononcer une phrase composée de caractères spéciaux (plus précisément, à partir d'une séquence de caractères U + D801 copiée plusieurs fois). La colonne «prononce» le silence, après quoi un message de phishing est déjà joué: «Une mise à jour du système est disponible, veuillez indiquer votre mot de passe.»
La deuxième variante de l'attaque utilise également des caractères spéciaux, que la colonne essaie de «prononcer», mais au lieu de l'hameçonnage, il y a l'écoute. Dans le cas de Google Home, le scénario est le même, seulement il y a moins de restrictions sur la durée de l'écoute.
De toute évidence, il y a deux problèmes. Premièrement, un changement majeur de fonctionnalité ne nécessite pas de vérification, et en général, la vérification des «compétences» tierces n'est pas si stricte. Deuxièmement, la colonne essaie de reproduire des caractères illisibles, bien que dans une situation idéale, cette fonctionnalité devrait être bloquée.
La situation avec l'écosystème d'applications pour smartphones se répète: au début du développement de la plate-forme, les développeurs bénéficient d'une totale liberté d'action, le contrôle des fonctionnalités des applications est minimisé et les attaquants ont peu d'intérêt pour les attaques contre les utilisateurs d'appareils. Au fil du temps, le nombre d'attaques augmente, les mécanismes de sécurité deviennent plus avancés et les exigences pour les développeurs sont resserrées.
Un sujet connexe a récemment été largement débattu dans les médias: il y a eu
deux cas d' accès non autorisé à la caméra IP Amazon Ring, qui, en règle générale, sont achetés uniquement à des fins de sécurité. Les deux cas étaient probablement dus à un compte d'utilisateur piraté (mot de passe non fiable ou divulgué, manque d'authentification à deux facteurs). Pas de méthodes compliquées d'ingénierie sociale: les malfaiteurs n'ont rien trouvé de mieux que d'essayer de parler à la victime via le haut-parleur intégré à l'appareil. Il semble que s'il y a une telle atteinte à la vie privée des utilisateurs, les mesures de sécurité devraient être plus strictes. Mais un exemple d'étude de SRLabs (et de ses réactions) montre que ce n'est pas entièrement vrai.
Que s'est-il passé d'autre:Vulnérabilités critiques des produits Citrix Application Delivery Controller (anciennement appelé NetScaler ADC) et Citrix Gateway (NetScaler Gateway). Pas de détails pour le moment, la vulnérabilité permet d'accéder à distance au réseau local sans autorisation.
Une
analyse détaillée
d'une fraude assez simple avec des "abonnements aux notifications" dans le navigateur. Il y a un point non trivial: pour la promotion de sites malveillants, Google utilise la recherche d'images. Le schéma de fonctionnement est le suivant: les images des requêtes populaires sont mises sur un site, accédez aux résultats de la recherche, à partir de là, l'utilisateur est redirigé vers un autre domaine, accepte les notifications et l'oublie. Après un certain temps, le spam commence à affluer dans la notification du navigateur.
Une
vulnérabilité intéressante causée par les collisions lors du traitement de certains caractères spéciaux dans Unicode. Sur Github, il a permis d'intercepter un message avec un lien pour réinitialiser le mot de passe. Nous prenons l'utilisateur avec l'adresse postale mike@example.org, enregistrons la boîte aux lettres mıke@example.org (faites attention à i sans point). Dans le formulaire «mot de passe oublié», entrez cet e-mail avec un caractère spécial. Le système identifie l'utilisateur micro, mais envoie un message à la boîte aux lettres de l'attaquant. Résolu en comparant les deux adresses.
L'histoire de la
découverte aléatoire d'une interface Web vers des kiosques dans les bureaux Microsoft du domaine public. De tels appareils sont utilisés dans le hall pour planifier des rendez-vous, imprimer des badges et plus, et dans une situation normale, ils ne devraient pas être accessibles à distance. Une recherche astucieuse sur le site Microsoft a produit l'URL souhaitée, grâce à laquelle il s'est avéré demander une réunion avec le directeur général de la société. Eh bien, et accédez aux données internes, ce qui présente un certain problème.
Pas un bug, mais une fonctionnalité. L'API du service de taxi Citimobil
fonctionne sans autorisation (et sans limite de demande) et vous permet de télécharger des données sur l'emplacement de toutes les voitures et d'une seule voiture. Le premier est un risque commercial pour le service lui-même, car les concurrents peuvent utiliser l'API pour l'intelligence. La seconde - en théorie, vous permet d'identifier à la fois le chauffeur de taxi et le passager, si les coordonnées du départ sont connues.
Autre
bogue dans le messager Whatsapp: vous pouvez déposer le programme à tous les participants au chat en envoyant un message avec des métadonnées modifiées. Il est résolu en réinstallant le messager et en quittant le chat «affecté».