Nguy cơ bị nghe lén và đánh cắp mật khẩu bởi các ứng dụng loa thông minh
Các nhà nghiên cứu vừa phát hiện ra Amazon và Google đã vô tình phê duyệt các ứng dụng loa thông minh được thiết kế để nghe lén người dùng và đánh cắp mật khẩu của họ.
Các chuyên gia tại Security Research Labs cho biết các ứng dụng được thiết kế để nhắm mục tiêu dữ liệu cá nhân như ghi âm giọng nói và mật khẩu của cả người dùng Google Home và Amazon Echo bằng cách đóng vai trò là phần mềm đọc tử vi thông qua khẩu lệnh. Các ứng dụng chỉ bị xóa sau khi các nhà nghiên cứu cho các công ty biết về thử nghiệm của họ.
Tất cả 8 ứng dụng do các nhà nghiên cứu thiết kế đều có thể vượt qua hệ thống bảo mật của Amazon và Google, được các nhóm kiểm duyệt của công ty chấp thuận, một sai sót mà các chuyên gia cho rằng thậm chí còn xem xét kỹ lưỡng hơn về các tiêu chuẩn an toàn và bảo mật của thiết bị thông minh.
Các nhà nghiên cứu bảo mật đã phát hiện 8 ứng dụng được thiết kế để theo dõi người dùng trên Google Home và Amazon Echo (hình trên) như một phần của thử nghiệm về bảo mật thiết bị.
"Khi chức năng của loa thông minh phát triển cũng là tiền đề tấn công để tin tặc khai thác chúng. Các lỗ hổng cho phép tin tặc lừa đảo để lấy thông tin nhạy cảm và nghe lén người dùng. Chúng tôi đã tạo các ứng dụng giọng nói để thể hiện cả hai bản hack trên cả hai nền tảng thiết bị, biến các trợ lý thành "Điệp viên thông minh", các nhà nghiên cứu viết trong báo cáo của họ.
Một ứng dụng được thiết kế để lừa người dùng nghĩ rằng thiết bị của họ không còn lắng nghe bằng cách thông báo một thông báo lỗi giả sau khi bị đánh thức bởi một từ để thiết bị bắt đầu hoạt động.
Tuy nhiên trên thực tế, ứng dụng vẫn mở với micro được kích hoạt, điều này sẽ cho phép tin tặc nghe lén bất kỳ cuộc hội thoại nào sau đó trong tầm nghe.
Một cuộc tấn công khác phục vụ người dùng một dấu nhắc giả, yêu cầu người dùng cập nhật hệ thống của họ bằng cách đánh vần mật khẩu của họ. Bản sao đó sau đó được chụp và gửi đến một máy chủ từ xa.
Thương hiệu sản phẩm trong nhà thông minh của Google như Nest Mini (hình trên) là một trong những sản phẩm điều khiển bằng giọng nói phổ biến nhất trên thị trường.
"Tất cả các hành động trên Google được yêu cầu tuân theo các chính sách dành cho nhà phát triển của chúng tôi, mọi hành động vi phạm các chính sách này đều bị nghiêm cấm và xóa. Chúng tôi đã xem xét các quy trình để phát hiện loại hành vi được mô tả trong báo cáo này và chúng tôi đã xóa các hành động mà chúng tôi tìm thấy từ các nhà nghiên cứu", một phát ngôn viên của Google nói với MailOnline.
Phát ngôn viên cũng nói thêm rằng họ đang đưa ra các cơ chế bổ sung để ngăn chặn những vấn đề này xảy ra trong tương lai.
Các nhà nghiên cứu nói rằng việc khai thác nên đóng vai trò như một lời cảnh tỉnh cho người dùng các thiết bị thông minh trong nhà có hỗ trợ micro, những người có thể không nhận thức được việc tin tặc có thể khai thác thông qua công nghệ.
"Ý nghĩa riêng tư của một micro kết nối internet lắng nghe những gì người dùng nói đang vươn xa hơn những gì đã hiểu trước đây", các nhà nghiên cứu viết.
Người dùng cần nhận thức rõ hơn về tiềm năng của các ứng dụng giọng nói độc hại lạm dụng loa thông minh. Sử dụng một ứng dụng giọng nói mới nên được tiếp cận với mức độ thận trọng tương tự như cài đặt một ứng dụng mới trên điện thoại thông minh.
Google, Amazon, Apple, Facebook và Microsoft gần đây đã bị cuốn vào những vụ bê bối của chính họ sau khi các công ty bị phát hiện sử dụng các nhà thầu để xử lý các lệnh thoại do người dùng sản phẩm của họ đưa ra.
Các chương trình thường loại bỏ âm thanh không dành cho các thiết bị của họ như các cuộc gọi kinh doanh, tình dục, tìm kiếm khiêu dâm và các cuộc trò chuyện riêng tư khác.
Hương Giang (theo: dailymail)
