Uma investigação da empresa de segurança SRLabs revelou algumas vulnerabilidades nos alto-falantes inteligentes baseados nos assistentes da Amazon e do Google, que podem resultar em espionagem de todas as conversa do usuário.
Os especialistas desenvolveram vários aplicativos inócuos que passaram pelos controles das lojas de aplicativos para as duas plataformas. Quando ativados, os apps ficam escutando de forma permanente o que acontece ao redor, ameaçando a privacidade do usuário.
Muito cuidado: eles escutam, mesmo que não pareça
Já era sabido que os times da Amazon e do Google acessam parte das gravações dos usuários com o objetivo de melhorar o comportamento dos alto-falantes, mas o acesso restrito está bem longe do que pode alcançar os apps maliciosos descobertos.
Os responsáveis pela SRLabs desenvolveram oito aplicativos, quatro “skills” do Alexa e quatro “ações” do Google Home, que passaram pelos controles de segurança das duas lojas de aplicativos.
As ferramentas serviam para (por exemplo) consultar o horóscopo ou gerenciar números aleatórios. Mas além disso, ficavam escutando o que acontecia ao seu redor, e compilando os clips de áudio de forma indefinida.
Além disso, os aplicativos compilavam senhas dos usuários em diferentes situações, simulando um problema com a petição de dados, que indicavam que um serviço não estava disponível em um determinado país.
A partir daí, o sistema ficava em silêncio por alguns instantes, para depois simular com a voz dos assistentes que uma atualização estava disponível, pedindo assim que o usuário introduzisse os dados de sua conta de usuário e senha para instalar tal atualização.
As vulnerabilidades se aproveitam de determinados comportamentos que não são aceitos para os alto-falantes. Dessa forma, os apps maliciosos fazem com que o aplicativo siga se executando (e escutando) no alto-falante, mesmo que o usuário deixe de falar diretamente com o alto-falante.
A SRLabs avisou o Google e a Amazon sobre os problemas, e as duas empresas retiraram os aplicativos maliciosos depois do aviso, além de confirmarem que estão trabalhando nos processos de validação dessas ferramentas para evitar esse tipo de acesso no futuro.
Via Ars Technica, SRLabs