Googleとアマゾンのスマートスピーカーで盗聴とフィッシング可能と実証。セキュリティ研究者が警告

  • Engadget
  • 更新日:2019/10/22
No image

アマゾンのEchoaやGoogle Homeといった音声アシスタント搭載スピーカー用に、セキュリティ研究者がフィッシング(経済的価値がある情報を盗み出す詐欺行為)や盗聴できるアプリを試験的に申請し、実際に承認されてしまったことが報じられています。ドイツのSecurity Research Labs(SRLabs)に属するセキュリティ研究者らは、音声アシスタントを悪用する新たな手法に警告するため、AlexaのスキルとGoogle Home用アクションを作成しました。いずれも占いアプリのような正当なスキルに見せかけ、実はシステムの脆弱性を突き、フィッシングや盗聴できる機能を内蔵したものです。

サードパーティのアプリが動作するしくみは、まずスマートスピーカーがユーザーに質問した後、マイクが少しの時間だけアクティブになるというもの。たとえばショッピングアプリのバスケットに何かを追加するようAlexaに指示すると、アプリは製品の詳細を確認して、それが注文通りかを確認します。そのときにEchoのマイクが数秒だけアクティブになりイエスかNoかを待ち、通常のアプリであればマイクは再びオフになります。

しかし、悪意あるアプリはマイクを有効にしたまま保持。これは質問や確認のあとに長い一時停止を引き起こす特定の文字列を使用すれば実現できるとのこと。その間の会話はログに記録され、攻撃者のサーバーに送信されるーーこうして盗聴が実現するわけです。実際の動作は、下の動画でご確認ください。

そしてフィッシングについても、基本的な原理は同じこと。たとえば占いアプリで「あなたの国では使用が許可されていません」などのエラーメッセージを返し、その後に長い一時停止を使用。そうして先ほどのアプリは終わって何の関係もないと思わせてから、アマゾンやGoogleを装ってパスワードを聞き出す質問を投げかけるといったぐあいです。

これら偽装アプリは、全てGoogleおよびアマゾンにより承認されることに。そしてSRLabsは調査結果を両社に非公開で報告した後、アプリは削除されています。いずれの企業も、スキルとアクションが同様の機能を持つことを防げるよう承認プロセスを変更すると述べているとのことです。

SRLabsはGoogleやアマゾンに審査の厳正化を求める一方で、ユーザーにもスマートスピーカーを悪用した音声アプリの潜在的な危険をもっと自覚して「新たな音声アプリを使うにあたっては、スマートフォンに新アプリをインストールするのと同じレベルで慎重になるべき」と警告を発しています。

つい家族と同じ感覚で気軽に接しがちな音声アシスタントですが、マイクの向こう側には「誰か」がいる可能性を意識したほうがよさそうです。

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

アプリカテゴリの人気記事

グノシーで話題の記事を読もう!
Disney+のコンテンツがiOSやtvOSなどで配信スタート
てんかん患者の発作や服薬記録をデータ化 家族会とITベンチャーが携帯アプリ開発
【今日の無料アプリ】120円→無料♪スクリーンショット画像を総合的に管理できるアプリ!「Screenshot PRO Screenshots App」他、2本を紹介!
@DIMEのLINE公式アカウント配信開始!「選べるニュース×可愛い嘘のカワウソ」LINEスタンププレゼントキャンペーンも実施中
「Tポイントアプリ」、UI改良や機能追加などの大幅リニューアル実施
  • このエントリーをはてなブックマークに追加