Не так даўно ў інтэрнэце разгарэўся скандал з нагоды праслухоўвання карыстальнікаў. Вядучую ролю адыгралі разумныя калонкі ад Amazon і Google. Цяпер высвятляецца, што многія прыкладанні іншых вытворцаў могуць яшчэ больш.
Разумныя калонкі ад Amazon і Google адрозніваюцца ад Apple HomePod адзін раз істотная функцыя. Яны дазваляюць праграмам іншых вытворцаў выкарыстоўваць абсталяванне прылады. Такім чынам, праграмісты абедзвюх кампаній вядуць бясконцую барацьбу з хакерамі, якія заўсёды на крок наперадзе.
Падзяліліся спецыялісты па бяспецы з серверам ZDNet аб сваіх знаходках. Уся атака на карыстальніка заключаецца ў выкарыстанні простай шчыліны ў працы аперацыйнай сістэмы калонкі з убудаваным мікрафонам.
Гэта адбываецца таму, што прыкладанні іншых вытворцаў маюць магчымасць доступу да мікрафона дынаміка толькі на працягу абмежаванага часу. Аднак ёсць магчымасць падоўжыць гэты час у тым выпадку, калі не ўдалося зразумець каманду карыстальніка. І гэта менавіта той шлях, якім карыстаюцца хакеры.
Адбылася памылка злучэння. Калі ласка, увядзіце пароль вашага ўліковага запісу Google
Стандартныя паводзіны прыкладання прыкладна адпавядаюць наступнай сітуацыі:
Я прашу Alexa дадаць тавары ў мой кошык для пакупак прыкладанняў з сеткі крам. Прыкладанне правярае гісторыю заказаў, каб параўнаць параметры тавараў, а потым запытвае ў мяне пацвярджэнне. У той жа час ён актывуе мікрафон і чакае адказу "так" ці "не". Калі я не адказваю, мікрафон выключаецца праз некалькі секунд.
Аднак ёсць спосаб абыйсці адключэнне мікрафона. Гэта можа быць дасягнута з дапамогай спецыяльнага тэкставага радка «�. », упісаны ў код прыкладання. Гэта можа лёгка павялічыць час актывацыі мікрафона з некалькіх секунд да значна большага. Такім чынам, праграма можа ўвесь час падслухоўваць карыстальніка.
Другі варыянт яшчэ больш падступны. Радок можна выкарыстоўваць і задаваць нават для апрацоўкі гукавой інструкцыі. У далейшым прыкладанне можа быць прымусова запытваць пароль, напрыклад, да ўліковага запісу Amazon або Google. На відэа ніжэй наглядна паказаны ўвесь працэс.
У той жа час Apple не дазваляе староннім праграмам атрымліваць прамы доступ да мікрафона HomePod і, верагодна, ніколі не дазволіць гэта зрабіць у той жа ступені, што і Amazon і Google. Усе распрацоўшчыкі павінны выкарыстоўваць спецыяльны API, які апрацоўвае голас. Яго карыстальнікі пакуль у бяспецы.