Sponsored Contents

alexaの最新記事

Image credit:
Save

Googleとアマゾンのスマートスピーカーで盗聴とフィッシング可能と実証。セキュリティ研究者が警告

スマスピが黙った後も要注意

Kiyoshi Tane
2019年10月22日, 午後02:35 in Alexa
230シェア
65
165
0

連載

注目記事

折り畳めてとっても軽い!1万2000円の小型ジンバル「VLOG Pocket」はYouTuber入門におすすめ(小彩 楓)

折り畳めてとっても軽い!1万2000円の小型ジンバル「VLOG Pocket」はYouTuber入門におすすめ(小彩 楓)

小彩 楓, 11月17日
View
世界初の完全分離骨伝導イヤホン「earsopen PEACE」でネクストレベルの「ながら聴き」を体感

世界初の完全分離骨伝導イヤホン「earsopen PEACE」でネクストレベルの「ながら聴き」を体感

View

アマゾンのEchoaやGoogle Homeといった音声アシスタント搭載スピーカー用に、セキュリティ研究者がフィッシング(経済的価値がある情報を盗み出す詐欺行為)や盗聴できるアプリを試験的に申請し、実際に承認されてしまったことが報じられています。

ドイツのSecurity Research Labs(SRLabs)に属するセキュリティ研究者らは、音声アシスタントを悪用する新たな手法に警告するため、AlexaのスキルとGoogle Home用アクションを作成しました。いずれも占いアプリのような正当なスキルに見せかけ、実はシステムの脆弱性を突き、フィッシングや盗聴できる機能を内蔵したものです。

サードパーティのアプリが動作するしくみは、まずスマートスピーカーがユーザーに質問した後、マイクが少しの時間だけアクティブになるというもの。たとえばショッピングアプリのバスケットに何かを追加するようAlexaに指示すると、アプリは製品の詳細を確認して、それが注文通りかを確認します。そのときにEchoのマイクが数秒だけアクティブになりイエスかNoかを待ち、通常のアプリであればマイクは再びオフになります。

しかし、悪意あるアプリはマイクを有効にしたまま保持。これは質問や確認のあとに長い一時停止を引き起こす特定の文字列を使用すれば実現できるとのこと。その間の会話はログに記録され、攻撃者のサーバーに送信されるーーこうして盗聴が実現するわけです。実際の動作は、下の動画でご確認ください。

そしてフィッシングについても、基本的な原理は同じこと。たとえば占いアプリで「あなたの国では使用が許可されていません」などのエラーメッセージを返し、その後に長い一時停止を使用。そうして先ほどのアプリは終わって何の関係もないと思わせてから、アマゾンやGoogleを装ってパスワードを聞き出す質問を投げかけるといったぐあいです。

これら偽装アプリは、全てGoogleおよびアマゾンにより承認されることに。そしてSRLabsは調査結果を両社に非公開で報告した後、アプリは削除されています。いずれの企業も、スキルとアクションが同様の機能を持つことを防げるよう承認プロセスを変更すると述べているとのことです。

SRLabsはGoogleやアマゾンに審査の厳正化を求める一方で、ユーザーにもスマートスピーカーを悪用した音声アプリの潜在的な危険をもっと自覚して「新たな音声アプリを使うにあたっては、スマートフォンに新アプリをインストールするのと同じレベルで慎重になるべき」と警告を発しています。

つい家族と同じ感覚で気軽に接しがちな音声アシスタントですが、マイクの向こう側には「誰か」がいる可能性を意識したほうがよさそうです。



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

Source: SRLabs
230シェア
65
165
0

Sponsored Contents