חוקרים הדגימו פגיעות חמורה ברמקולים החכמים של אמזון וגוגל

מכשירי הרמקולים החכמים לסוגיהם הולכים ותופסים תאוצה ונכנסים לבתים רבים. הם מתוגברים בעוזרים הקוליים, דוגמת אלקסה, סירי וה-Google Assistant, שנזעקים לסייע לנו במיני מטלות כגון חיפוש מידע, רכישות אונליין, הזמנת כרטיסים ומקומות, בירור מצב מזג האוויר, ואף הדלקת התאורה או המזגן בטרם הגיענו לבית החכם שלנו, אם יש לנו אחד. אבל מה יקרה אם המכשור המתקדם יתפס בידי האקרים עם כוונות זדון?

חוקרים בחברה הגרמנית סקיוריטי ריסרץ' לאבס הצליחו לפתח מספר תוכניות שיכולות לרגל אחרינו באמצעות הרמקולים החכמים של גוגל, ה-Google Home, או אלו של אמזון, ששמם אקו.

בכדי להשיג את יעדם – בירור האם המכשור המתקדם שהולך והופך ליותר ויותר נפוץ בשימוש מהווה סכנת אבטחה בעבור משתמשיו – החוקרים פיתחו מיומנויות בעבור העוזרים הקוליים אלקסה של אמזון ופעולות בעבור Google Assistant של גוגל. החוקרים תיארו את יישומי המיומנויות והפעולות אלה כ"יישומי קול אינטליגנטים לרמקולים".

גם הוא התגלה כחשוף לריגול. Google Home. צילום: יח"צ

בדף הבית של גוגל, כמו גם בזה של אקו מבית אמזון, יישומים קוליים אלה מצוינים כמאושרים וככאלו שאינם מסכנים את המשתמשים לכאורה. למעשה, הם מבטיחים לקרוא בפני המשתמשים את ההורוסקופ היומי שלהם בקול, ונשמעים כלא חשודים כלל ותמימים ביותר. אבל הלכה למעשה מסתבר שהיישומים הם יישומי ריגלו שמסוגלים לאסוף את הנתונים האישיים של הלקוחות ללא ידיעתם.

בפועל מה שמתרחש הוא שלאחר הפעלת המיומנות/הפעולה, הרמקול מציג הודעת שגיאה, ואז, בתואנה של התקנת עדכון מערכת, היישום מבקש מהמשתמש לשנות את הסיסמה שלו. גם המשתמשים הזהירים ביותר עלולים ליפול למלכודת הזו, שנראית לכאורה כאקט הגיוני, במיוחד כשמדובר ביישומים שזכו באישור של הענקיות.

וישינג – סוג של דיוג באמצעות קול

סקיוריטי ריסרץ' לאבס מתארת את המתקפה שהיישומים מבצעים בכינוי 'וישינג' (vishing) – סוג של דיוג באמצעות קול. על פי חברת האבטחה שפועלת בברלין, גרמניה, הפגם מאפשר גם לרגל אחר השיחות הפרטיות של המשתמשים.

האפליקציות שפותחו על ידי החוקרים שומרות את הרמקול במצב האזנה תמידית, מבלי שהמשתמשים יבינו זאת. בשני המקרים, האפליקציה הזדונית פולטת אות סיום כוזב לאחר שהעוזר הקולי התעורר וקיבל את ההנחיות, וזה משטה במשתמשים שלא שמים לב שהמכשיר נמצא עדיין במצב הקלטה.

החוקרים טוענים כי הפרצות הללו ודומותיהן עלולות להיות מנוצלות על ידי האקרים ושהממצאים צריכים להתפש כקריאת השכמה למשתמשים במכשירי הבית החכם הקוליים. לדבריהם: "השלכות הפרטיות של מיקרופון מחובר לאינטרנט שמאזין למה שאתם אומרים רחוקות ממה שהבנו בעבר".

נכנסים לבתים רבים. עוזרים קוליים. אילוסטרציה: BigStock

בדו"ח שהוציאה SR Labs על ממצאיה היא מזהירה: "משתמשים צריכים להיות מודעים לסכנה של אפליקציות קוליות זדוניות שמנצלות את הרמקולים החכמים שלהם. יש לפנות לשימוש באפליקציה קולית חדשה באותה זהירות שבהתקנת אפליקציה חדשה בסמארטפון שלכם".

גוגל ואמזון דיווחו עקב הממצאים החמורים כי פרסו במהירות תיקון לתופעה. 

'כל הפעולות בגוגל נדרשות לפעול בהתאם למדיניות המפתחים שלנו, ואנחנו אוסרים ומסירים כל פעולה שמפרה את המדיניות הזו. בדקנו תהליכים כדי לאתר את סוג ההתנהגות המתוארת בדו"ח זה, והסרנו את הפעולות שעליהם גילינו מהחוקרים הללו”, אמר דובר גוגל בתגובה לחשיפה, והוסיף כי "אנו מכניסים מנגנונים נוספים למניעת התרחשותם של סוגיות אלו בעתיד".

אמזון אמרה את אותו הדבר – שהמכשירים שלה לעולם לא יבקשו את סיסמת המשתמש – ושהחברה "מציבה אמצעים מקלים בכדי למנוע ולגלות סוג כזה של התנהגות ומיומנות ולדחות או להוריד אותם כשהם מזוהים".

יצוין עם זאת כי ההתקפות אינן חדשות מבחינה טכנית. חוקרי אבטחה מצאו בעבר וקטורים דומים של התחזות וניסיונות פישיניג המשפיעים על אלקסה באפריל 2018, ושוב על מכשירי אלקסה ו-Google Home חודש לאחר מכן, במאי, ושוב על מכשירי אלקסה באוגוסט של אותה השנה. גם אמזון וגם גוגל הפעילו, לטענתן, אמצעים לתיקון הפרצות, בכל פעם, ועם זאת, המשיכו לצוץ דרכים חדשות יותר לניצול עוזרים חכמים.