Peter Škuta Nie je to tak dávno, čo sa na internete objavila aféra ohľadom odpočúvania používateľov. V hlavnej úlohe boli múdre reproduktory od Amazonu a Googlu. Teraz sa ukazuje, že mnoho aplikácií tretích strán vie ešte viac.
Inteligentné reproduktory od Amazonu a Googlu sa líšia od Applovského HomePodu raz zásadnou funkciou. Dovoľujú totiž aplikáciám tretích strán využívať hardvér zariadenia. Softwaroví inžinieri oboch spoločností tak zvádzajú nekonečný boj s hackermi, ktorí sú ale vždy o krok vpred.
Bezpečnostní odborníci sa podelili so serverom ZDNet o svoje nálezy. Celý útok na užívateľov spočíva vo využití jednoduchej skuliny pri práci operačného systému reproduktora so vstavaným mikrofónom.
Aplikácie tretích strán totiž majú možnosť pristupovať k mikrofónu reproduktora iba po obmedzený časový limit. Existuje tu však variant predĺženia tejto doby a to v prípade, keď nebolo možné porozumieť príkazu užívateľa. A práve túto cestu využívajú hackeri.
Nastala chyba spojenia. Zadajte prosím heslo k svojmu Google účtu
Štandardné správanie aplikácie zodpovedá zhruba nasledujúcej situácii:
Požiadam Alexu, aby pridala položky do môjho nákupného košíka aplikácie od obchodného reťazca. Aplikácia skontroluje históriu objednávok, aby porovnala parametre tovaru, a následne ma požiada o potvrdenie. Súčasne aktivuje mikrofón a čaká na odpoveď áno alebo nie. Pokiaľ neodpoviem, mikrofón po intervale pár sekúnd vypne.
Existuje však cesta, ako vypnutie mikrofónu obísť. To je možné dosiahnuť špeciálneho textového reťazca “. ” napísaného do kódu aplikácie. Ten môže ľahko predĺžiť dobu aktivácie mikrofónu z niekoľkých sekúnd na oveľa dlhšiu. Aplikácia tak celú dobu môže odpočúvať používateľa.
Druhý variant je ešte zákernejší. Reťazec je možné využiť a dosadiť aj za spracovanie zvukového pokynu. Následne potom je možné aplikáciu donútiť, aby sa spýtala na heslo napríklad k Amazon alebo Google účtu. Celý postup názorne ukazujú videá nižšie.
Mohlo by vás zaujímať
David Hanák Apple medzitým prístup aplikáciám tretích strán priamo k mikrofónu HomePodu neumožňuje a zrejme ani do tej miery ako Amazon a Google nikdy nepovolí. Všetci vývojári musia využívať špeciálne API, ktoré spracováva hlas. Jeho používatelia sú zatiaľ v bezpečí.
