Amazon AlexaとGoogle Homeのスマートスピーカーが、所有者の音声を盗聴したり、音声を使ってフィッシング行為をしたりできることは、昨年の春から知られていました。しかし、新たな調査によると、こうした機能を備えた新たな悪意あるアプリが、両社によって承認され続けていることが明らかになりました。

以下の動画で紹介されている2つの脆弱性は、両社がサードパーティ開発者にアプリや「スキル」の開発を許可することでスピーカーをよりスマートにしているために発生します。AppleのHomePodは、このようなサードパーティによるアクセスを許可していないため安全です…

ZDNet が 最新の事例を報告しています。

Amazon と Google はそれぞれそのたびに対策を講じてきましたが、スマート アシスタントを悪用する新しい方法が次々と登場しています。

最新の脆弱性は、Security Research Labs (SRLabs) のセキュリティ研究者である Luise Frerichs 氏と Fabian Bräunlein 氏によって今年初めに特定され、先週ZDNetに調査結果を共有した後、本日公開されました。

フィッシングと盗聴の両方のベクトルは、Amazon と Google が Alexa または Google Home カスタム アプリの開発者に提供するバックエンドを介して悪用される可能性があります。

これらのバックエンドは、開発者がスマート アシスタントが応答するコマンドやアシスタントの応答方法をカスタマイズするために使用できる機能へのアクセスを提供します。

サードパーティ製アプリは、スマートスピーカーがユーザーに質問した後、マイクが短時間だけアクティブになるのが本来の動作です。例えば、Alexaにスーパーマーケットアプリに買い物かごに何かを入れるように指示すると、アプリは注文履歴から商品の詳細情報を確認し、Alexaは見つけた商品について説明し、本当に欲しい商品なのか確認を求めます。その後、Echo Dotのマイクが短時間アクティブになり、ユーザーが「はい」または「いいえ」と答えるのを待ちます。数秒以内に返答がない場合、マイクは再びオフになります。

しかし、悪意のあるアプリは、マイクを長時間オンにしたままにして、録音を続けることができます。これは、質問や確認の後に長い沈黙を作り出す特殊な文字列を使用することで実現され、その間マイクはオンのままになります。

「�. 」という文字列は盗聴攻撃にも利用されます。しかし、今回は悪意のあるアプリがユーザーのコマンドに応答した後にこの文字列が利用されます。

この文字列はデバイスをアクティブに保ち、ユーザーの会話を記録するために使用され、会話はログに記録され、処理のために攻撃者のサーバーに送信されます。

そうすれば、スマートスピーカーはマイクがオンになっている間、発言内容を盗聴することができます。

あるいは、長い一時停止を利用して、アプリの所有者にアプリを操作していないと思わせることもできます。その時点で、フィッシング攻撃が行われる可能性があります。

そのアイデアは、アプリが失敗したことをユーザーに伝え、「�. 」を挿入して長い沈黙を誘発し、数分後にフィッシング メッセージをユーザーに表示して、ターゲットを騙して、フィッシング メッセージは直前に操作したアプリとは何の関係もないと信じ込ませることです。

たとえば、以下のビデオでは、星占いアプリがエラーをトリガーしますが、その後はアクティブなままになり、最終的には Amazon/Google 自体からの更新メッセージを偽装しながら、ユーザーに Amazon/Google のパスワードを要求します。

サードパーティ製アプリがSiriとやり取りできるのはApple独自のAPI経由のみであるため、HomePodではこの種の攻撃は不可能です。アプリは直接アクセスできません。

以下のデモビデオをご覧ください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。