페트르 스쿠타 얼마 전 인터넷에서 사용자의 도청에 대한 스캔들이있었습니다. Amazon과 Google의 스마트 스피커가 주도적인 역할을 했습니다. 이제 많은 타사 앱이 더 많은 일을 할 수 있는 것으로 나타났습니다.
아마존과 구글의 스마트 스피커는 애플과 다르다 홈팟 1회 필수 기능. 이를 통해 타사 응용 프로그램이 장치의 하드웨어를 사용할 수 있습니다. 이처럼 두 회사의 소프트웨어 엔지니어들은 항상 한 발 앞서 있는 해커들과 끝없는 싸움을 벌이고 있다.
보안 전문가가 공유함 ZDNet 서버와 함께 그들의 발견에 대해. 사용자에 대한 전체 공격은 마이크가 내장된 스피커 운영 체제 작동에 간단한 허점을 사용하는 것으로 구성됩니다.
이는 타사 애플리케이션이 제한된 시간 동안만 스피커의 마이크에 액세스할 수 있기 때문입니다. 다만, 사용자의 명령을 이해할 수 없는 경우에는 이 시간을 연장할 수 있는 옵션이 있습니다. 그리고 이것이 바로 해커들이 사용하는 경로입니다.
연결 오류가 발생했습니다. Google 계정 비밀번호를 입력하세요.
애플리케이션의 표준 동작은 대략 다음 상황에 해당합니다.
Alexa에게 체인점에서 내 앱 장바구니에 항목을 추가해 달라고 요청합니다. 애플리케이션은 주문 내역을 확인하여 상품의 매개변수를 비교한 다음 확인을 요청합니다. 동시에 마이크를 활성화하고 예 또는 아니오 응답을 기다립니다. 내가 대답하지 않으면 몇 초 후에 마이크가 꺼집니다.
그러나 마이크 음소거를 우회하는 방법이 있습니다. 이는 특수 텍스트 문자열 "�을 사용하여 달성할 수 있습니다. "라고 애플리케이션 코드에 기록됩니다. 이렇게 하면 마이크 활성화 시간이 몇 초에서 훨씬 더 길어질 수 있습니다. 따라서 애플리케이션은 항상 사용자의 말을 엿들을 수 있습니다.
두 번째 옵션은 훨씬 더 교활합니다. 문자열은 오디오 명령 처리에도 사용 및 설정될 수 있습니다. 그 후 애플리케이션은 예를 들어 Amazon 또는 Google 계정에 대한 비밀번호를 요청해야 할 수 있습니다. 아래 영상은 전체 과정을 명확하게 보여줍니다.
그것은 수 관심을 가져라
데이비드 하낙 한편, Apple은 타사 앱이 HomePod의 마이크에 직접 액세스하는 것을 허용하지 않으며 아마도 Amazon 및 Google만큼은 결코 허용하지 않을 것입니다. 모든 개발자는 음성을 처리하는 특수 API를 사용해야 합니다. 사용자는 현재 안전합니다.
