Не так давно в Интернете разразился скандал по поводу подслушивания пользователей. Ведущую роль сыграли умные колонки от Amazon и Google. Теперь оказывается, что многие сторонние приложения могут еще больше.
Умные колонки от Amazon и Google отличаются от Apple HomePod один раз существенная функция. Они позволяют сторонним приложениям использовать аппаратное обеспечение устройства. Таким образом, инженеры-программисты обеих компаний ведут бесконечную битву с хакерами, которые всегда на шаг впереди.
Эксперты по безопасности поделились с сервером ZDNet о своих выводах. Вся атака на пользователя заключается в использовании простой лазейки в работе операционной системы динамика со встроенным микрофоном.
Это связано с тем, что сторонние приложения имеют возможность доступа к микрофону говорящего только в течение ограниченного времени. Однако есть возможность продлить это время в том случае, если понять команду пользователя не удалось. И это именно тот путь, который используют хакеры.
Произошла ошибка соединения. Пожалуйста, введите пароль вашего аккаунта Google
Стандартное поведение приложения примерно соответствует следующей ситуации:
Я прошу Алексу добавить товары в корзину моего приложения из сетевого магазина. Приложение проверяет историю заказов, сравнивает параметры товара, а затем запрашивает у меня подтверждение. В то же время он активирует микрофон и ждет ответа «да» или «нет». Если я не отвечаю, микрофон выключается через несколько секунд.
Однако есть способ обойти отключение микрофона. Этого можно добиться с помощью специальной текстовой строки «�. » записано в коде приложения. Это может легко увеличить время активации микрофона с нескольких секунд до гораздо большего. Таким образом, приложение может постоянно подслушивать действия пользователя.
Второй вариант еще более коварный. Строку можно использовать и устанавливать даже для обработки аудиоинструкции. Впоследствии приложение можно заставить запросить пароль, например, к аккаунту Amazon или Google. На видео ниже наглядно показана вся процедура.
Между тем, Apple не позволяет сторонним приложениям получать прямой доступ к микрофону HomePod и, вероятно, никогда не позволит в такой степени, как Amazon и Google. Все разработчики должны использовать специальный API, обрабатывающий голос. Его пользователи пока в безопасности.