Kembali pada bulan Oktober, para peneliti dari SRLab menunjukkan bagaimana Anda dapat mengubah perilaku pembicara pintar Amazon Echo dan Google Home untuk menguping percakapan atau bahkan kata sandi phishing (
berita ,
penelitian ). Untuk yang terakhir, bahkan ada istilah khusus - vishing, alias phishing suara, yaitu phishing, di mana korban berbagi rahasianya dengan suaranya.
Untuk serangan itu, fungsi standar kolom digunakan, yaitu kemampuan untuk menginstal aplikasi mini (dikenal sebagai keterampilan atau tindakan). Aplikasi hipotetis yang membaca horoskop baru
dengan suara manusia dapat dimodifikasi setelah audit keamanan. Menggunakan karakter khusus dan spoofing pesan teknis, Anda dapat berpura-pura bahwa aplikasi telah berhenti berfungsi, meskipun pada kenyataannya, semua percakapan dan perintah direkam, didekripsi dan dikirim ke server penyerang untuk beberapa waktu.
Dua bulan kemudian, para peneliti
melaporkan bahwa masalah tidak diperbaiki. Selama penelitian, aplikasi "jahat" diunggah ke "app store" dari pengeras suara. Hasilnya ditransfer ke Amazon dan Google, setelah itu aplikasi dihapus, tetapi SRLab dengan mudah mengunduhnya lagi dan mereka dapat lulus tes. Situasinya mengingatkan pada masalah dengan aplikasi jahat untuk telepon pintar biasa di Google Play Store dan Apple App Store: taktiknya sama, hanya metode rekayasa sosial yang sedikit berbeda. Bagaimanapun, ini adalah contoh yang menarik dari evolusi serangan, dengan mempertimbangkan penampilan perangkat yang terus-menerus menguping dan memata-matai pemiliknya.
Serangan itu, menggunakan Amazon Echo sebagai contoh, berlangsung sebagai berikut. Aplikasi yang sah dibuat yang melewati audit pabrikan. Setelah itu, fungsi aplikasi berubah, tetapi Amazon tidak menganggap ini sebagai alasan untuk pengujian ulang. Pesan sambutan diganti: saat permulaan, aplikasi memberi tahu pengguna bahwa telah terjadi kesalahan, misalnya: "Skill ini tidak tersedia di negara Anda." Korban yakin bahwa aplikasi telah selesai berfungsi, tetapi pada kenyataannya aplikasi tersebut mencoba memaksa kolom untuk mengucapkan frasa yang terdiri dari karakter khusus (lebih khusus, dari urutan karakter U + D801 yang disalin berkali-kali). Kolom "mengucapkan" diam, setelah pesan phishing diputar: "Pembaruan sistem tersedia, tolong beri tahu kata sandi Anda."
Varian kedua dari serangan juga menggunakan karakter khusus, yang kolom coba untuk βucapkanβ, tetapi bukannya phishing ada yang menguping. Dalam kasus Google Home, skenarionya sama, hanya ada sedikit batasan pada durasi menguping.
Jelas, ada dua masalah. Pertama, perubahan besar dalam fungsi tidak memerlukan verifikasi, dan secara umum, verifikasi "keterampilan" pihak ketiga tidak begitu ketat. Kedua, kolom mencoba mereproduksi karakter yang tidak dapat dibaca, meskipun dalam situasi yang ideal fungsi tersebut harus diblokir.
Situasi dengan ekosistem aplikasi untuk telepon pintar diulangi: pada awal pengembangan platform, pengembang diberikan kebebasan penuh untuk bertindak, kontrol fungsionalitas aplikasi diminimalkan, dan penyerang memiliki sedikit minat dalam serangan terhadap pengguna perangkat. Seiring waktu, jumlah serangan meningkat, mekanisme keamanan menjadi lebih maju, dan persyaratan untuk pengembang diperketat.
Topik terkait baru-baru ini telah dibahas secara luas di media: ada
dua kasus akses tidak sah ke kamera IP Amazon Ring, yang, sebagai suatu peraturan, dibeli hanya untuk tujuan keamanan. Kedua kasus tersebut kemungkinan besar disebabkan oleh akun pengguna yang diretas (kata sandi tidak dapat diandalkan atau bocor, kurangnya otentikasi dua faktor). Tidak ada metode rumit dalam rekayasa sosial: celakalah celaka tidak menghasilkan sesuatu yang lebih baik daripada mencoba berbicara dengan korban melalui pengeras suara yang terpasang di dalam perangkat. Tampaknya jika ada pelanggaran privasi pengguna, tindakan keamanan harus lebih curam. Tetapi sebuah studi contoh SRLAB (dan reaksi terhadapnya) menunjukkan bahwa ini tidak sepenuhnya benar.
Apa lagi yang terjadi:Kerentanan kritis dalam produk Citrix Application Delivery Controller (sebelumnya disebut NetScaler ADC) dan Citrix Gateway (NetScaler Gateway). Belum ada detail, kerentanan memungkinkan akses jarak jauh ke jaringan lokal tanpa otorisasi.
Analisis terperinci
atas penipuan yang cukup sederhana dengan "langganan pemberitahuan" di browser. Ada satu titik non-sepele: untuk promosi situs jahat, Google menggunakan pencarian gambar. Skema kerjanya adalah sebagai berikut: gambar untuk kueri populer diletakkan di satu situs, masuk ke hasil pencarian, dari sana pengguna dialihkan ke domain lain, menyetujui pemberitahuan dan lupa tentang itu. Setelah beberapa saat, spam mulai mengalir di notifikasi browser.
Kerentanan menarik yang disebabkan oleh tabrakan saat memproses beberapa karakter khusus di Unicode. Di Github, diizinkan untuk mencegat pesan dengan tautan untuk mereset kata sandi. Kami membawa pengguna dengan alamat surat mike@example.org, mendaftarkan kotak surat mΔ±ke@example.org (perhatikan saya tanpa titik). Dalam formulir "lupa kata sandi", masukkan email ini dengan karakter khusus. Sistem mengidentifikasi mikrofon pengguna, tetapi mengirim pesan ke kotak surat penyerang. Dipecahkan dengan membandingkan dua alamat.
Kisah
penemuan acak antarmuka web ke kios di kantor Microsoft di domain publik. Perangkat semacam itu digunakan di lobi untuk membuat janji temu, mencetak lencana, dan lainnya, dan dalam situasi normal tidak dapat diakses dari jarak jauh. Pencarian licik di situs Microsoft menghasilkan URL yang diinginkan, yang ternyata digunakan untuk meminta pertemuan dengan direktur umum perusahaan. Nah, dan akses data internal, yang menghadirkan masalah tertentu.
Bukan bug, tetapi fitur. API layanan taksi Citimobil
berfungsi tanpa otorisasi (dan tidak ada batasan permintaan) dan memungkinkan Anda untuk mengunduh data di lokasi semua mobil dan satu mobil. Yang pertama adalah risiko bisnis untuk layanan itu sendiri, karena pesaing dapat menggunakan API untuk intelijen. Teori kedua, memungkinkan Anda mengidentifikasi pengemudi taksi dan penumpang, jika koordinat keberangkatan diketahui.
Bug lain di messenger Whatsapp: Anda dapat menjatuhkan program ke semua peserta obrolan dengan mengirim pesan dengan metadata yang dimodifikasi. Itu diselesaikan dengan menginstal ulang messenger dan keluar dari obrolan "terpengaruh".