Израильская компания-разработчик программного обеспечения безопасности Checkmarx недавно обнаружила, что недостатки в технологии персонального голосового помощника некоторых Android-устройств могут сделать их уязвимыми для хакеров и других угроз безопасности.
Исследователи из Checkmarx продемонстрировали эту угрозу безопасности, разработав макет погодного приложения, которое запрашивало доступ к голосовому помощнику устройства.
«Вредоносное приложение, которое мы разработали для демонстрации, представляло собой не что иное, как макет погодного приложения, которое могло быть вредоносным по замыслу. Когда клиент запускает приложение, оно по сути создает постоянное соединение с [command and control] сервер и ожидает команд и указаний от злоумышленника, управляющего командным сервером из любой точки мира. Даже закрытие приложения не разрывает постоянное соединение». – Они объяснили
Следовательно, такие технологические дыры могут подвергнуть пользователя и систему безопасности телефона риску вторжения в частную жизнь, например, держать пользователя в неведении во время фото- и видеосъемки и даже отслеживания его местоположения.
Эти недостатки в основном обнаруживаются в Google Assistant в Google Пикселе smartphones и в Bixby от Samsung и его Galaxy согласно исследованию, опубликованному Checkmarx во вторник.
Компания заявила, что эти технологические лазейки могли позволить хакерам злоупотреблять этой технологией и записывать двусторонние разговоры, отключать затвор на камере телефона и собирать местоположение GPS на основе метаданных устройства, особенно потому, что голосовым помощникам не нужно запрашивать разрешение на захват медиа.
К счастью, исправление безопасности, размещенное в Play Store от Google и Samsung, доступно с июля этого года и защитило эти устройства Android от такого проникновения и неправильного использования информации.
Эта угроза безопасности возрастала с развитием технологий и была доказана ранее, когда исследователи обнаружили, что они могут перехватывать имена пользователей и пароли Wi-Fi от клиентов, которые установили AmazonЗвоним в дверные звонки в своих домах. Постепенно это создает для киберпреступников новые возможности для злоупотребления пользовательскими данными.