人々はバーチャルアシスタントが目立たないことを期待しているため、Alexa、Google Home、その他の支援技術を搭載したデバイスは、録音中であることを明示するはずです。しかし、ZDNetは昨日、ハッカーがAlexaとGoogle Homeの脆弱性を悪用し、秘密裏に監視ツールとして利用できる可能性があると報じました。
攻撃者はさらに一歩進んで、悪意のあるアプリをAmazonやGoogleに偽装させ、ユーザーにアカウント認証情報を共有させてサービスに再ログインさせる可能性があります。どちらのデバイスも通常はこのようなことはしませんが、何も知らないユーザーはアカウントのセキュリティを侵害することをためらわないかもしれません。
これらのデバイスは、ステータスライトでマイクの作動状態を技術的に確認できるため、注意深い人なら何かが起こっていることに気づくことができます。しかし、ライトを見逃したり、全く無視したりする可能性も非常に高いです。これらのデバイスの魅力の一つは、目の前の作業を中断することなく、部屋の向こう側に指示を叫べることです。ステータスライトをじっと見つめなければならないのは、人々がこれらの製品を使用する理由とは相容れません。
研究者たちは2018年を通してAlexaとGoogle Homeに同様の脆弱性を発見しました。セキュリティ企業SRLabsは今年初め、これらの脆弱性が依然として存在していることを発見しました。SRLabsはAmazonとGoogleにこの問題を伝えたと報じられていますが、SRLabsはZDNetに対し「長時間の停止などの予期せぬ動作を発見して禁止するのは比較的簡単なはずだ」と述べているにもかかわらず、問題は未解決のままです。
SRLabs はブログ投稿で、Amazon と Google がこの問題にどう対処すべきか次のように述べている。
「『スマートスパイ』攻撃を防ぐには、AmazonとGoogleは、音声アプリストアで提供されるサードパーティのスキルとアクションの審査プロセスをより徹底することから始め、より強力な保護対策を実装する必要があります。音声アプリの審査では、組み込みインテントのコピーを明示的にチェックする必要があります。「�」などの発音できない文字や、無音のSSMLメッセージは、スピーカーの出力に不必要な長い休止が生じないように削除する必要があります。「password」などの疑わしい出力テキストには特に注意を払うか、完全に禁止する必要があります。」
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
同社はまた、YouTubeチャンネルで、AlexaおよびGoogle Homeユーザーに対するフィッシング攻撃や盗聴を行うためのエクスプロイトを示す4本の動画を公開した。
一方、GoogleはZDNetに対し、「これらの研究者から発見されたアクションを削除し、今後このような問題が発生するのを防ぐための追加メカニズムを導入している」と述べた。Amazonは沈黙を守っている。
