Em outubro, pesquisadores da SRLabs mostraram como você pode alterar o comportamento dos alto-falantes inteligentes Amazon Echo e Google Home para escutar conversas ou mesmo senhas de phishing (
notícias ,
pesquisas ). Para o último, existe até um termo especial - vishing, também conhecido como phishing de voz, ou seja, phishing, no qual a vítima compartilha seus segredos com a voz.
Para o ataque, foi usada a funcionalidade padrão das colunas, a capacidade de instalar miniaplicativos (conhecidos como habilidades ou ações). Um aplicativo hipotético que lê um horóscopo novo em voz alta
com uma voz humana pode ser modificado após uma auditoria de segurança. Usando caracteres especiais e mensagens técnicas de falsificação, você pode fingir que o aplicativo parou de funcionar, embora, de fato, todas as conversas e comandos sejam gravados, descriptografados e enviados ao servidor do invasor por algum tempo.
Dois meses depois, os pesquisadores
relataram que os problemas não foram resolvidos. Durante o estudo, aplicativos "maliciosos" foram enviados para a "loja de aplicativos" de alto-falantes inteligentes. Os resultados foram transferidos para a Amazon e o Google, após o qual os aplicativos foram excluídos, mas os SRLabs os baixaram com facilidade novamente e eles passaram no teste. A situação lembra o problema de aplicativos maliciosos para smartphones comuns na Google Play Store e na Apple App Store: as táticas são as mesmas, apenas os métodos de engenharia social são ligeiramente diferentes. De qualquer forma, este é um exemplo interessante da evolução dos ataques, levando em consideração a aparência de dispositivos que constantemente espionam e espionam os proprietários.
O ataque, usando o Amazon Echo como exemplo, prossegue da seguinte maneira. Um aplicativo legítimo é criado que passa na auditoria do fabricante. Depois disso, a funcionalidade do aplicativo muda, mas a Amazon não considera isso um motivo para o novo teste. Uma mensagem de boas-vindas é substituída: na inicialização, o aplicativo informa ao usuário que ocorreu um erro, por exemplo: "Esta habilidade não está disponível no seu país". A vítima tem certeza de que o aplicativo terminou de funcionar, mas, na verdade, o aplicativo está tentando forçar a coluna a pronunciar uma frase composta por caracteres especiais (mais especificamente, de uma sequência de caracteres U + D801 copiados várias vezes). A coluna "pronuncia" o silêncio, após o qual uma mensagem de phishing já é reproduzida: "Uma atualização do sistema está disponível, por favor, informe sua senha".
A segunda variante do ataque também usa caracteres especiais, que a coluna tenta "pronunciar", mas em vez de phishing, há escutas. No caso da Página inicial do Google, o cenário é o mesmo, mas há menos restrições na duração da escuta.
Obviamente, existem dois problemas. Em primeiro lugar, uma grande mudança na funcionalidade não requer verificação e, em geral, a verificação de "habilidades" de terceiros não é tão rigorosa. Em segundo lugar, a coluna tenta reproduzir caracteres ilegíveis, embora em uma situação ideal essa funcionalidade deva ser bloqueada.
A situação com o ecossistema de aplicativos para smartphones é repetida: no início do desenvolvimento da plataforma, os desenvolvedores recebem total liberdade de ação, o controle da funcionalidade do aplicativo é minimizado e os atacantes têm pouco interesse em ataques a usuários de dispositivos. Com o tempo, o número de ataques aumenta, os mecanismos de segurança se tornam mais avançados e os requisitos para desenvolvedores são reforçados.
Um tópico relacionado foi recentemente discutido amplamente na mídia: houve
dois casos de acesso não autorizado à câmera IP do Amazon Ring, que, como regra, são comprados apenas para fins de segurança. Ambos os casos provavelmente ocorreram devido a uma conta de usuário invadida (senha não confiável ou vazada, falta de autenticação de dois fatores). Não há métodos complicados de engenharia social: os problemas não chegaram a nada melhor do que tentar conversar com a vítima através do alto-falante embutido no dispositivo. Parece que, se houver uma invasão da privacidade dos usuários, as medidas de segurança devem ser mais acentuadas. Mas um exemplo de estudo de SRLabs (e reações a ele) mostra que isso não é inteiramente verdade.
O que mais aconteceu:Vulnerabilidades críticas nos produtos Citrix Application Delivery Controller (anteriormente chamado NetScaler ADC) e Citrix Gateway (NetScaler Gateway). Ainda sem detalhes, a vulnerabilidade permite acesso remoto à rede local sem autorização.
Uma
análise detalhada
de uma fraude bastante simples com "assinaturas de notificações" no navegador. Há um ponto não trivial: para a promoção de sites maliciosos, o Google usa a pesquisa de imagens. O esquema de trabalho é o seguinte: imagens para consultas populares são colocadas em um site, entram nos resultados da pesquisa, a partir daí o usuário é redirecionado para outro domínio, concorda com as notificações e esquece. Depois de um tempo, o spam começa a aparecer na notificação do navegador.
Uma
vulnerabilidade interessante causada por colisões ao processar alguns caracteres especiais no Unicode. No Github, ele permitiu interceptar uma mensagem com um link para redefinir a senha. Nós levamos o usuário com o endereço para correspondência mike@example.org, registramos a caixa de correio mıke@example.org (preste atenção em i sem um ponto). No formulário "esqueci a senha", digite este e-mail com um caractere especial. O sistema identifica o microfone do usuário, mas envia uma mensagem para a caixa de correio do invasor. Resolvido comparando os dois endereços.
A história da
descoberta aleatória de uma interface da web para quiosques nos escritórios da Microsoft em domínio público. Esses dispositivos são usados no lobby para agendar compromissos, imprimir crachás e muito mais, e em uma situação normal não devem ser acessados remotamente. Uma pesquisa astuta no site da Microsoft produziu o URL desejado, através do qual acabou solicitando uma reunião com o diretor geral da empresa. Bem, e acesse dados internos, o que apresenta um certo problema.
Não é um bug, mas um recurso. A API do serviço de táxi Citimobil
funciona sem autorização (e sem limite de solicitações) e permite baixar dados na localização de todos os carros e de um único carro. O primeiro é um risco comercial para o serviço em si, pois os concorrentes podem usar a API para obter inteligência. O segundo - em teoria, permite identificar o motorista e o passageiro, se as coordenadas da partida forem conhecidas.
Outro
bug no WhatsApp messenger: você pode soltar o programa para todos os participantes do chat enviando uma mensagem com metadados modificados. Isso é resolvido reinstalando o messenger e saindo do bate-papo "afetado".