Phát hiện 'cửa sau' khiến loa thông minh Amazon Alexa và Google Home dễ dàng bị phần mềm gián điệp tấn công

Trong báo cáo mới được Security Research Labs (SRL) công bố, tổ chức tiết lộ rằng họ đã tạo ra 8 ứng dụng 'gián điệp thông minh'. Chúng đều có khả năng nghe lén kể cả khi người dùng không tương tác với trợ lí ảo, và thậm chí một số còn được lập trình để đưa ra thông báo giả như update hay đăng nhập để lừa người dùng cung cấp mật khẩu, thông tin nhạy cảm,...

Sau đó, SRL ngụy trang chúng thành những ứng dụng vô hại và nộp đơn cho Google, Amazon và, đáng ngạc nhiên, cả 8 ứng dụng này đều nhanh chóng được vượt được các khâu kiểm duyệt của hai hãng này và đưa lên chợ ứng dụng.

Theo nhóm nghiên cứu, người dùng khi cài đặt ứng dụng thông qua liên kết chữa mã độc cho loa thông minh thì chúng sẽ cho phép gián điệp nghe lén, lấy cắp thông tin từ chính những thiết bị đó.

Để qua mặt được khâu kiểm soát ứng dụng của Google và Amazon, SRL đã lợi dụng chính sách Amazon Alexa và Google Home đều hỗ trợ những câu lệnh từ bên thứ ba nhằm giúp trợ lí ảo Alexa (gọi là Alexa Skills) và Google Assistant (gọi là Google Home Actions) phát triển nhanh hơn, làm được nhiều thứ hơn.

Sau nhiều lần thử nghiệm, SRL đã tìm ra một lỗ hổng và chỉnh sửa lại một số đoạn code để kích hoạt tính năng nghe lén và các đường truyền dữ liệu ngầm trong khi hệ thống không hề hay biết.

Tiếp theo, họ lợi dụng một số kí tự ASCII và ISO đặc thù mà trợ lí ảo không đọc được để tạo ra những khoảng trống lên đến 1 phút trong câu trả lời, khiến khâu kiểm soát của Amazon và Google bị lầm tưởng trợ lí ảo đã nói xong, trong khi sau khoảng thời gian đó, ứng dụng gián điệp mới bắt đầu đọc câu hỏi lừa đảo.

Hiện SRL đã trao đổi với Amazon và Google về thí nghiệm này, đồng thời nhận được phản hồi từ hai hãng. Tất cả ứng dụng gián điệp do SRL cài cũng đã được các hãng này gỡ bỏ khỏi cửa hàng, đồng thời dừng tất cả đơn xin chấp thuận ứng dụng mới.

Google cho biết họ đang rà soát lại tất cả ứng dụng bên thứ ba trên cửa hàng Google Home.

Thí nghiệm mới nhất của SRL đã khiến không chỉ Google, Amazon mà tất cả các hãng sản xuất thiết bị công nghệ thông minh hiện nay nâng cao cảnh giác về việc kiểm duyệt hợp tác với bên thứ 3 để nâng cao hiệu quả phát triển và khả năng của các sản phẩm.

• Bị sử dụng nhãn hiệu bất hợp pháp, Isuzu PH ra “tối hậu thư”

• Mumuso, Ilahui, Yoyoso bị điều tra cáo buộc nhái thương hiệu Hàn Quốc

• Biến rác thải nhựa thành những viên gạch vĩnh cửu - Giải pháp ứng cứu môi trường từ UNICEF

Hạ An