Top Categories

Spotlight

Discord

todayoktober 24, 2019

Cybercrime Envicom

Discord veranderde in een Info Stealing achterdeur van Nieuw Malware

Een nieuwe malware richt zich op Discord Gebruikers door de Windows Discord Cliënt zo te wijzigen dat deze wordt omgezet in een achterdeur en een trojan voor het stelen van informatie. De Windows Discord Cliënt is een Electron Toepassing, wat betekent dat bijna alle functionaliteit is afgeleid van HTML, CSS en JavaScript. Hiermee kan malware zijn kernbestanden wijzigen, zodat de cliënt [...]


Schadelijke apps op Alexa of Google Home kunnen wachtwoorden bespioneren of stelen

Cyber security + Cybercrime Envicom todayoktober 22, 2019 18

Background
share close

Slimme luidsprekers van Google en Amazon kunnen worden gebruikt om gesprekken van gebruikers op te nemen of om naar wachtwoorden de phishing via kwaadaardige spraak-Apps en waarschuwen beveiligingsonderzoekers.

Maar niet als de twee bedrijven maatregelen nemen om het beoordelingsproces en de beperkingen voor apps die aanpassen met hun slimme apparaten te verbeteren en kunnen kwaadwillende ontwikkelaars de zwakte benutten om audio van gebruikers vast te leggen.

Gewijzigde bedoelingen

Genaamd ‘vaardigheden’ voor Amazon Alexa en ‘acties’ voor Google Home, worden spraak-apps voor deze slimme luidsprekers geactiveerd door een zin (‘aanroepingsnaam’) die door de ontwikkelaar is aangewezen om de app te starten, in het algemeen de naam van de app.

"Hey Google/Alexa, turn on my Horoscope" - invoking the Horoscope app

Functies van een vaardigheid of een actie worden opgeroepen via een ‘bedoeling’ — een vaste frase die slotwaarden kan hebben voor aangepaste variabelen. In veel gevallen bereiken deze de server van de ontwikkelaar.

"Tell me my horoscope for today" - intent with the slot value 'today'

Gebruikers kunnen de slimme spreker vertellen een vaardigheid of actie te stoppen, maar beveiligingsonderzoekers van het Duitse Security Research Labs hebben aangetoond dat een app deze bedoeling kan omzeilen en kan blijven luisteren.

Ze laten zien dat een kwaadwillende app die zich op deze manier gedraagt, de beveiliging goedkeuring stempel van zowel Google als Amazon kan ontvangen en de privacy van gebruikers in gevaar kan brengen wanneer de geconverteerde audio een externe server bereikt.

Een kwaadaardige Amazon Vaardigheid die wordt gebruikt voor het afluisteren, kan komen met een aangepaste Deactivering Bedoeling die dit niet uitschakelt. In plaats daarvan kan de sessie gedurende een bepaalde periode open blijven.

SRLabs hebben dit bereikt door de bedoeling ‘stop’ te wijzigen om de vaardigheid draaiende te houden in plaats van uit te schakelen. Gebruikers zullen echter nog steeds het bericht ‘Tot ziens’ horen dat het einde van de vaardigheid aangeeft.

Om de spreker stil te houden tijdens de afluistersessie, voegden de onderzoekers de Unicode Tekenreeks ‘ toe. (U + D801, punt, spatie) na de bedoeling.

De volgorde kan niet worden uitgesproken en de spreker blijft nog een paar seconden stil, terwijl de kwaadwillende app naar het gesprek luistert. De afsluittijd kan worden verlengd door de tekens meerdere keren toe te voegen.

Met een tweede bedoeling die wordt geactiveerd door specifieke woorden, kan een aanvaller zinnen opnemen als slotwaarden. Dit zou optreden als een back-upmethode om gebruikers te bespioneren.

Afluisteren op Google Home

Acties voor Google Home kunnen vanwege het ontwerp veel langer op de spraak van gebruikers controleren. Door de gebruiker in een lus te plaatsen, stuurt het apparaat een continue stroom van herkende spraak naar de aanvaller zonder een piep te horen om zijn activiteit te signaleren.

Deze hack is potentieel door de hoofdintentie te wijzigen om te eindigen met het ‘Bye’ Oorbel geluid dat normaal wordt gebruikt om het einde van een spraak-App te markeren.

Meerdere ‘NoInput Prompts’ met SSML Element of de onuitspreekbare Unicode Tekenreeks stoppen de spreker stil, terwijl de afluisteractie zijn spraak-naar-tekst-activiteit voortzet.

Het wijzigen van de kwaadaardige bedoeling vond plaats nadat de apps de eerste beoordeling van Amazon en Google hadden doorstaan, en de wijzigingen veroorzaakten geen tweede verificatie.

Phishing het wachtwoord

Met vergelijkbare trucs demonstreerde SRLabs een ander aanvalsscenario dat gebruikers voor de gek zou kunnen houden om hun wachtwoord op te geven.

Voor dit doel wordt de stilte die door de Unicode Tekens wordt gegeven, afgebroken om een ​​Phishing Bericht af te spelen.

“Er is een belangrijke beveiligingsupdate beschikbaar voor uw apparaat. Zeg alsjeblieft start update gevolgd door je wachtwoord”, zou kunnen doorgaan voor een echt verzoek. Noch Google noch Amazon vraagt ​​op deze manier om wachtwoorden.

De hele reut wat de gebruiker zegt nadat dit bericht is omgezet in tekst en afgeleverd op de server van de aanvaller. SRLabs heeft twee extra video’s gemaakt om te laten zien hoe dit zou werken.

Amazon Alexa wachtwoord phishing

Google Home wachtwoord phishing

De Duitse onderzoekers bevelen aan dat niet-onuitspreekbare tekens worden verwijderd en dat gevoelige uitvoer die kan worden gebruikt om geheime informatie te extraheren, nauwkeuriger moet worden bekeken.

Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *