2019/10/22

Alexa e Google Home usados para escutar conversas


Para além das preocupações inerentes com o uso que é dado às gravações "legítimas" de dispositivos como o Google Home e Echos da Amazon, investigadores demonstraram que é também preciso ter enorme cautela com a possibilidade de serviços maliciosos os usarem deliberadamente para escutarem o que se passa na casa das pessoas.

Vivemos numa altura curiosa, em que muitos dos receios que anteriormente eram catalogados como "teorias da conspiração" foram infelizmente demonstrados como sendo bem reais, e até superando aquilo que se suponho ser ficção. Aliás, basta ter em conta o recente relato de um executivo da Google, que disse que seria conveniente que quem tiver um Google Home / Nest Home em sua casa avise as visitas de que as suas conversas podem estar a ser gravadas. Mas o caso em questão é ainda mais esclarecedor...

Investigadores criaram serviços para o Google Home e Amazon Alexa que tinham por missão escutar os utilizadores sem o seu conhecimento.

A táctica, embora um pouco rebuscada, assenta em bases relativamente simples e passou sem qualquer dificuldade pelos sistemas de validação da Amazon e Google. Fazendo-se passar por serviços aparentemente inofensivos, como serviços que diziam o horóscopo dos utilizadores, estes serviços armadilhados simulavam o som de que o serviço tinha terminado (por vezes gerando indicações falsas de erro), usando depois indicadores silenciosos para se manterem em actividade e escutarem tudo o que fosse dito de seguida com a expectativa de conseguir apanhar dados valiosos.


Embora fosse pouco provável que este tipo de ataque pudesse apanhar uma password relevante por voz (quantas vezes dizem uma password em voz alta?), existem outras tácticas que poderiam potenciar esse tipo de informação. Por exemplo, enquanto o serviço malicioso está em actividade, poderia interceptar os pedidos "Ok Google" e "Alexa", e redireccionar os utilizadores para páginas de phishing. Por exemplo, em resposta a um pedido para acender ou desligar luzes, poderia dar uma mensagem de que havia uma qualquer actualização que teria que ser feita, e em cujo processo fosse perguntada a password - a fazer numa página maliciosa apresentada no smartphone.

Com os deepfakes não podemos acreditar no que vemos; com estes assistentes de voz não podemos acreditar no que ouvimos. Começa a não ser nada fácil lidar com tecnologia sobre a qual temos que manter uma relação de suspeita permanente...

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]