Alexa, Asisten Pembicara Cerdas Google Dapat Digunakan untuk Phishing, Menguping: Peneliti

Ada banyak perdebatan akhir-akhir ini mengenai aspek privasi ketika datang ke perangkat rumah pintar, tetapi tampaknya kekhawatiran itu tidak beralasan. Para ahli di Security Research Labs telah menemukan kerentanan yang terkait dengan sistem backend aplikasi suara Alexa dan Google Assistant yang dapat dieksploitasi untuk menguping pengguna dan untuk menghapus sandi dengan mudah. Para pakar keamanan mendemonstrasikan kelemahan-kelemahan dalam video proof-of-concept dan mengungkapkan betapa mudahnya mengelabui pengguna untuk memberikan informasi sensitif seperti kata sandi dan detail akun.

Security Research Labs menjelaskan dalam laporannya bahwa pihak jahat dapat menggunakan karakter yang tidak dapat dibaca seperti “�” dalam kode aplikasi suara untuk asisten Alexa Amazon yang disebut Keterampilan, atau Tindakan dalam kasus Asisten Google. Ketika karakter seperti itu ditemui dalam proses interaksi yang berkelanjutan antara pengguna dan asisten virtual, itu membuat jeda yang lama, yang mengelabui pengguna untuk percaya bahwa aplikasi tersebut tidak berfungsi.

Dalam skenario seperti itu, pengguna mungkin berpikir bahwa interaksi telah berhenti dan mereka perlu lagi mengatakan kata kunci seperti “Ok Google” atau “Hey Alexa” untuk memulai tindakan. Namun pada kenyataannya, pihak jahat dapat menggunakan jeda ini untuk mendengarkan apa pun yang dikatakan pengguna sementara itu, dan dapat mengirim transkrip suara dari semua yang mereka katakan dalam waktu singkat ke server khusus milik peretas.

Demikian pula, ketika karakter “�” yang tidak dapat dibaca menginduksi jeda singkat, katakan selama 30 detik untuk menipu pengguna agar meyakini bahwa ada sesuatu yang tidak berfungsi, pihak jahat dapat menindaklanjutinya dalam aplikasi suara mereka dengan kode yang membaca pesan pembaruan palsu. Dalam kasus seperti itu, prompt suara pembaruan palsu dapat meminta pengguna untuk mengatakan kata sandi mereka untuk menginstal pembaruan, dan mungkin juga meminta informasi lebih lanjut seperti akun tertaut. Dengan info ini, seseorang dapat mengendalikan akun Amazon atau akun pengguna Google yang tidak curiga.

Kerentanan menguping dan phishing dapat dieksploitasi melalui backend yang disediakan Google dan Amazon untuk pengembang keterampilan Alexa dan tindakan Asisten Google. Dan dengan tidak adanya protokol pemeriksaan ketat, pihak jahat dapat memperoleh akses ke fungsi yang memberi mereka akses ke perintah kritis dan selanjutnya mengontrol bagaimana perilaku asisten virtual. Security Research Labs melaporkan kerentanan terhadap Google dan Amazon beberapa bulan yang lalu, tetapi belum ditambal. Selain itu, karena Amazon dan Google tidak memeriksa kode pembaruan aplikasi, pihak jahat memiliki kebebasan di sini.

“Semua Tindakan di Google harus mengikuti kebijakan pengembang kami, dan kami melarang dan menghapus Tindakan apa pun yang melanggar kebijakan ini. Kami memiliki proses peninjauan untuk mendeteksi jenis perilaku yang dijelaskan dalam laporan ini, dan kami menghapus Tindakan yang kami temukan dari para peneliti ini ”, kata juru bicara Google seperti dikutip oleh ZDNet mengenai masalah ini, tetapi Amazon belum mengeluarkan pernyataan. Google juga ingin menyebarkan kesadaran bahwa Asisten Google tidak akan meminta mereka untuk informasi sensitif seperti kata sandi melalui keterampilan suara, dengan tujuan agar mereka tetap sadar akan penipuan semacam itu.

Sumber : Gadgets360