ドイツのセキュリティ研究組織は、Amazon Alexa と Google Home の両方のアプリストアに 8 人の「スマート スパイ」を配置し、スマート スピーカーを介して盗聴やフィッシングがいかに簡単に実行できるかを実証しました。
ドイツの組織 Security Research Labs は、悪意のあるアプリが作成できることを実証しました。アレクサそしてグーグルホーム、セキュリティ審査に合格できること。同社は、「スマート スパイ」と呼ばれるそのようなアプリを 8 つ作成することに成功しました。それぞれが盗聴やフィッシングを目的として設計されており、それぞれが承認されました。アマゾンそしてグーグル。
SRLabsのシニアセキュリティコンサルタント、ファビアン・ブラウンライン氏は、「音声アシスタントがプライバシーに影響を与えることは常に明らかだった。GoogleやAmazonがあなたのスピーチを受信しており、場合によっては偶然にこれが引き起こされる可能性もある」と語った。アルス テクニカ。
「我々は今、メーカーだけでなく…ハッカーも音声アシスタントを悪用して誰かのプライバシーを侵害する可能性があることを示している」と同氏は続けた。
Alexa のスマート スパイ スキルや Google Home のアクションはすべて、ユーザーが聞くのをやめた後でも盗聴することができました。中には、ユーザーにアップデートがあることを告げ、パスワードを要求するフィッシングもありました。
によるとSRLabs のドキュメント、同社は、Amazonの審査プロセスを通過した後にAlexa音声スキルの特定の要素をどのように変更できるかに依存していました。
また、開発者が Alexa スキルまたは Google アクションの音声出力に非常に長い一時停止を挿入できる機能も利用されました。これは、どちらかのスマート スピーカーに発音できない一連の ASCII または ISO コードを繰り返し言うように依頼することで実現されます。
これは、音声アプリが沈黙し、終了したように見えることを意味しますが、実際にはフィッシングの質問をするために最大 1 分間待機していました。
SRLabs はアプリとその調査結果を Amazon と Google に開示したが、現在両社はアプリを削除した。その後、両社はSRLabsに対し、このような行為が再び行われないようにする旨の声明を発表した。
Amazonの広報担当者はSRLabsへの書面声明で、「認定のために提出されたスキルについては、これはもう不可能だ」と述べた。 「この種のスキルの動作を防止および検出し、特定された場合には拒否または削除するための緩和策を導入しました。」
Googleの広報担当者も同様の声明で「GoogleのすべてのActionsは当社の開発者ポリシーに従う必要があり、当社はこれらのポリシーに違反するいかなるActionも禁止し、削除する」と述べた。
Googleの広報担当者は、「当社にはこの報告書に記載されている行為の種類を検出するための審査プロセスがあり、これらの研究者から見つかった行為は削除した」と続けた。 「今後こうした問題が発生するのを防ぐために、追加のメカニズムを導入しています。」
アルス テクニカGoogle は現在、サードパーティの Google Home の対応をすべて検討していると報告しています。
SRLabs はスマート スパイを配置しませんでしたりんごさんのホームポッド、これは現在サードパーティのアクションをサポートしていないためです。
以前、Amazon が使用していると報告されていました。何千人もの労働者が録画を監視する同社のスマート スピーカーやその他のデバイスに発行される音声コマンドの数。Googleも同じことをした、そしてそれも同様ですりんご。
Isamu 
Isamu 
Isamu