Kenali Saat Smart Speaker Menguping dan Cara Mencegahnya

Tidak semua platform dapat menggantikan platform lain, dan hal tersebut juga berlaku di perangkat smarthome. Meskipun kita dapat melengkapi speaker cerdas dengan keterampilan, action, dan menggunakan aplikasi di Amazon Echo dan Google Home, tetap saja kita harus berpikir dua kali dengan aplikasi yang akan dipasang. Kerentanan yang belum diperbaiki oleh pembuat perangkat pintar dapat membuka celah terhadap kejahatan phishing atau menguping yang dilakukan oleh pengembang aplikasi berbahaya.

Para peneliti di Security Research Labs telah mengkonfirmasi sebuah celah berbahaya yang belum diperbaiki terkait dengan bagaimana perintah suara diproses oleh speaker Amazon dan Google. Akibatnya, aplikasi scammer yang tampaknya sulit ditanggulangi oleh kedua perusahaan tersebut dapat mencuri informasi keamanan penting pengguna.

Berikut ini penjelasan SRLabs tentang bagaimana aplikasi berbahaya ini bekerja:

            1. Buat aplikasi suara yang tampaknya tidak berbahaya yang mencakup niat yang dipicu oleh kata "mulai" yang mengambil kata-kata berikutnya sebagai nilai slot (input pengguna variabel yang diteruskan ke aplikasi). Niat ini berperilaku seperti niat mundur.

            2. Amazon atau Google kemudian meninjau keamanan aplikasi suara tersebut sebelum dipublikasikan. SRLabs mengubah fungsionalitas setelah peninjauan ini, yang tidak meminta peninjauan kedua. Secara khusus, SRLabs mengubah pesan sambutan menjadi pesan kesalahan palsu, membuat pengguna berpikir aplikasi belum dimulai. ("Saat ini Skill tidak tersedia di negara Anda.") Sekarang pengguna menganggap bahwa aplikasi suara tidak lagi mendengarkan.

            3. Tambahkan jeda audio panjang yang tidak beraturan setelah pesan kesalahan dengan membuat aplikasi suara “katakan” kemudian urutan karakter “�. “(U + D801, titik, spasi). Karena urutan ini tidak dapat diucapkan, pembicara tetap diam saat aktif. Membuat aplikasi "mengatakan" karakter beberapa kali membuat keheningan tambah panjang.

            4. Terakhir, akhiri keheningan setelah beberapa saat dan mainkan pesan phishing. ("Pembaruan keamanan penting tersedia untuk perangkat Anda. Tolong katakan mulai pembaruan diikuti dengan kata sandi Anda."). Apa pun yang dikatakan pengguna setelah "mulai" dikirimkan ke backend peretas. Itu karena niat, yang bertindak seperti niat mundur sebelumnya, sekarang menyimpan input pengguna untuk kata sandi sebagai nilai slot. "

Dalam serangan vektor lainnya, peretas dapat membuat rutinitas menguping dengan mengirimkan kata-kata umum sebagai pemicu, seperti "alamat;" menggabungkannya dengan pemberitahuan "stop" palsu, seperti speaker Anda yang mengatakan "selamat tinggal," dan memperpanjang waktu pembicara tetap aktif menggunakan karakter trik "tersembunyi". Jika pengguna mengatakan kata pemicu di beberapa titik selama waktu yang lama, speaker akan merekam dan mengirim apa pun yang didengar kepada peretas.

Jika sulit untuk diikuti, inilah video gambaran exploit yang sedang beraksi:

Gaya retas yang sama sedikit berbeda pada perangkat Google, tetapi juga lebih berbahaya, karena kata-kata pemicu tidak diperlukan (dan periode "menguping" dapat bertahan selamanya):

Apa yang harus dilakukan tentang untuk menghindari celah berbahaya ini?

Amazon dan Google terus meningkatkan proses peninjauan mereka untuk memperbaiki skill, action, dan integrasi agar aman dari eksploitasi, walaupun belum berjalan dengan baik. 

Sambil menunggu perbaikan, disarankan pengguna hanya menggunakan skill dan action dari pengembang yang sudah dipercaya dan telah direview dan diperiksa oleh pengguna lain. Misalnya, dapatkan skor olahraga favorit Anda dari action ESPN yang memiliki banyak ulasan. Anda dapat mem-bookmark action dan memeriksanya kembali, untuk melihat apakah pengguna lain telah mereview dengan baik.

Yang paling penting, sering-sering periksa speaker cerdas Anda. Jangan hanya berasumsi bahwa akhir dari respons berarti speaker Anda selesai memproses perintah. Jika perangkat Anda tetap aktif dengan cara yang aneh, itu adalah tanda bahwa skill atau action yang Anda gunakan mencurigakan.

Terakhir, pangkas skill dan action Anda. Jika Anda tidak dapat mengingat kapan terakhir kali menggunakan aplikasi atau layanan pihak ketiga dengan speaker pintar, hapus kemampuannya untuk mengakses perangkat.