Petras Škuta Ne taip seniai internete kilo skandalas dėl vartotojų pasiklausymo. Išmanieji garsiakalbiai iš „Amazon“ ir „Google“ atliko pagrindinį vaidmenį. Dabar paaiškėjo, kad daugelis trečiųjų šalių programų gali padaryti dar daugiau.
Išmanieji „Amazon“ ir „Google“ garsiakalbiai skiriasi nuo „Apple“. HomePod vieną kartą esminė funkcija. Jie leidžia trečiųjų šalių programoms naudoti įrenginio aparatinę įrangą. Taigi abiejų kompanijų programinės įrangos inžinieriai kariauja nesibaigiančią kovą su įsilaužėliais, kurie visada yra žingsniu priekyje.
Pasidalijo saugumo ekspertai su ZDNet serveriu apie savo atradimus. Visą ataką prieš vartotoją sudaro paprastos spragos naudojimas operacinės sistemos garsiakalbyje su įmontuotu mikrofonu.
Taip yra todėl, kad trečiųjų šalių programos turi galimybę pasiekti garsiakalbio mikrofoną tik ribotą laiką. Tačiau yra galimybė pratęsti šį laiką, jei nebuvo įmanoma suprasti vartotojo komandos. Ir būtent šiuo keliu naudojasi įsilaužėliai.
Įvyko ryšio klaida. Įveskite „Google“ paskyros slaptažodį
Standartinis programos elgesys maždaug atitinka šią situaciją:
Prašau Alexa pridėti prekių į mano programos pirkinių krepšelį iš tinklo parduotuvės. Programa patikrina užsakymų istoriją, kad palygintų prekių parametrus ir tada paprašo manęs patvirtinti. Tuo pačiu metu jis įjungia mikrofoną ir laukia atsakymo taip arba ne. Jei neatsiliepiu, mikrofonas išsijungia po kelių sekundžių.
Tačiau yra būdas apeiti mikrofono nutildymą. Tai galima pasiekti naudojant specialią teksto eilutę „�. “, įrašytas į programos kodą. Tai gali lengvai padidinti mikrofono įjungimo laiką nuo kelių sekundžių iki daug ilgesnio. Taigi programa gali visą laiką klausytis vartotojo.
Antrasis variantas dar klastingesnis. Eilutę galima naudoti ir nustatyti net garso instrukcijai apdoroti. Vėliau programa gali būti priversta prašyti slaptažodžio, pvz., „Amazon“ ar „Google“ paskyros. Žemiau esančiuose vaizdo įrašuose aiškiai parodyta visa procedūra.
Tai gali būti jus domina
Davidas Hanakas Tuo tarpu „Apple“ neleidžia trečiųjų šalių programoms tiesiogiai pasiekti „HomePod“ mikrofono ir tikriausiai niekada neleis tokiu mastu, kaip „Amazon“ ir „Google“. Visi kūrėjai turi naudoti specialią API, kuri tvarko balsą. Jos vartotojai kol kas saugūs.
