Приложений для Google Assistant больше, чем вы когда-либо сможете использовать, но, похоже, и не так уж сложно протащить вредоносные приложения незамеченными. По-видимому, лаборатория исследований безопасности смогла разработать приложения для Google Assistant и Alexa, предназначенные для фишинга личной информации пользователей.
ArsTechnica подробно описывает эксперимент немецкой лаборатории Security Research Labs, которая разработала восемь различных приложений/действий для Google Assistant и Alexa. Все они прошли соответствующие проверки безопасности Google и Amazon.
Сами приложения были разработаны как проверяющие гороскопы — одно было генератором случайных чисел — но тайно содержали возможность подслушивать пользователей и выманивать их пароли. Каждое приложение работает немного по-разному, но все они, по сути, работают одинаково.
В основном, пользователь говорил что-то вроде: «Окей, Google, попроси «Мой счастливый гороскоп» дать мне гороскоп для Тельца». В этот момент приложения отвечали этой информацией и воспроизводили записанную версию звука «конец», который Google воспроизводит после закрытия стороннего приложения, создавая впечатление, что приложение перестало работать. После этого вредоносные приложения продолжали записывать звук более 30 секунд и отправлять эти записи на сервер.
В другом примере, показанном в видео ниже, приложение сразу же создает впечатление, что оно не работает, имитируя голос, используемый Google Assistant. Это создавало бы впечатление, что на устройстве ничего не работает, но приложение на самом деле ждало около минуты, а затем снова имитировало голос Ассистента, чтобы выманить пароль учетной записи Google пользователя.
Вторая атака должна быть очевидной для большинства пользователей, но первая, вероятно, никогда не была бы обнаружена. Приложения, использованные в этом фишинговом эксперименте, были удалены из Google Assistant и Alexa исследователями с момента их создания, но тем не менее, это показывает, что Google должен быть немного более осторожным в отношении того, что может быть прикреплено к Ассистенту. ArsTechnica содержит больше подробностей о том, как работают эти атаки.