Zavřít reklamu

Není to tak dávno, co se na internetu objevila aféra ohledně odposlouchávání uživatelů. V hlavní roli byly chytré reproduktory od Amazonu a Googlu. Nyní se ukazuje, že mnoho aplikací třetích stran umí ještě více.

Chytré reproduktory od Amazonu a Googlu se liší od Applovského HomePodu jednou zásadní funkcí. Dovolují totiž aplikacím třetích stran využívat hardware zařízení. Softwaroví inženýři obou společností tak svádí nekonečný boj s hackery, kteří jsou ale vždy o krok napřed.

Bezpečnostní odborníci se podělili se serverem ZDNet o své nálezy. Celý útok na uživatele spočívá ve využití jednoduché skuliny při práci operačního systému reproduktoru s vestavěným mikrofonem.

Aplikace třetích stran totiž mají možnost přistupovat k mikrofonu reproduktoru pouze po omezený časový limit. Existuje zde však varianta prodloužení této doby a to v případě, kdy nebylo možné porozumět příkazu uživatele. A právě tuto cestu využívají hackeři.

echo homepod home

Nastala chyba spojení. Zadejte prosím heslo ke svému Google účtu

Standardní chování aplikace odpovídá zhruba následující situaci:

Požádám Alexu, aby přidala položky do mého nákupního košíku aplikace od obchodního řetězce. Aplikace zkontroluje historii objednávek, aby porovnala parametry zboží, a následně mě požádá o potvrzení. Současně aktivuje mikrofon a čeká na odpověď ano nebo ne. Pokud neodpovím, mikrofon po intervalu pár sekund vypne.

Existuje však cesta, jak vypnutí mikrofonu obejít. Toho lze dosáhnout speciálního textového řetězce “�. ” napsaného do kódu aplikace. Ten může snadno prodloužit dobu aktivace mikrofonu z řádu sekund na mnohem delší. Aplikace tak celou dobu může odposlouchávat uživatele.

Druhá varianta je ještě zákeřnější. Řetězec lze využít a dosadit i za zpracování zvukového pokynu. Následně pak lze aplikaci donutit, aby se zeptala na heslo například k Amazon nebo Google účtu. Celý postup názorně ukazují videa níže.

Apple mezitím přístup aplikacím třetích stran přímo k mikrofonu HomePodu neumožňuje a patrně ani do té míry jako Amazon a Google nikdy nepovolí. Všichni vývojáři musí využívat speciální API, které zpracovává hlas. Jeho uživatelé jsou prozatím v bezpečí.

 

.