Представлена атака для перехвата голосовых команд Amazon Alexa

Согласно исследователям Иллинойского университета в Урбане-Шампейне (США), системы распознавания голоса в устройствах «Интернета вещей» (IoT) могут со злым умыслом использоваться киберпреступниками.

В прошлом месяце на симпозиуме USENIX Security Symposium в Балтиморе специалисты представили атаку под названием «skill squatting», которая в настоящее время работает только на платформе Amazon Alexa. Метод заключается в использовании омофонов – слов, которые пишутся по-разному и имеют разное значение, но произносятся одинаково (например, «плод» и «плот»). По мнению специалистов, мошенники могут воспользоваться схожестью в произношении для фишинговых атак на пользователей виртуальных помощников.

Для голосовой интеграции со смарт-колонкой Amazon Echo сторонние компании используют инструмент Alexa Skills Kit. Как выяснили исследователи, некоторые разработчики дают своим приложениям (так называемым Skills) названия, по звучанию похожие на уже существующие, например, Fish Facts и Phish Facts. Первое приложение сообщает пользователям случайные факты о рыбках, тогда как второе – информацию о производителе джема из Вермонта. Это совпадение является случайным, однако существуют и другие, вполне преднамеренные. К таковым в частности относится Cat Fax, имитирующее по звучанию Cat Facts.

В 2017 году Amazon сделала все Skills в своей библиотеке по умолчанию доступными для голосовых команд. Все Skills могут быть установлены в библиотеку пользователя с помощью голоса. По словам исследователей, злоумышленники могут создавать Skills, перехватывающие голосовые команды для легитимных Skills, и обманом выманивать у пользователей конфиденциальные данные.

Источник