С помощью Amazon Alexa можно записать звуки, издаваемые смартфоном, когда пользователь вводит пароль, и определить набираемые символы.

Смарт-колонки наподобие Google Home и Amazon Echo могут использоваться хакерами для похищения PIN-кодов или паролей, набираемых на экране находящихся поблизости мобильных устройств. К такому выводу пришли специалисты Кембриджского университета по результатам проведенного исследования.

По словам специалистов, с помощью голосового помощника злоумышленники могут записать звуки, издаваемые мобильным устройством, когда пользователь вводит пароль, и по этим звукам определить набираемые символы.

Специалисты сконструировали собственную версию смарт-колонки, близкую к тем, что доступны на рынке сегодня, и провели компьютерный анализ записанных ею звуков и вибраций, издаваемых смартфоном при наборе PIN-кода на экране. Когда смартфон был расположен на расстоянии 20 сантиметров от смарт-колонки, компьютеру удалось угадать код с точностью 76% с трех попыток. Чем дальше находился смартфон от колонки, тем меньше была точность. На расстоянии 50 сантиметров точность достигала только 20%.

«Мы продемонстрировали, как с помощью двух смартфонов и планшета атакующий может извлечь PIN-коды и текстовые сообщения из записей, собранных голосовым помощником, расположенным на расстоянии до полуметра», — сообщил руководитель исследования Илья Шумайлов.

Смарт-колонки наподобие Google Home и Amazon Echo всегда находятся в режиме ожидания, чтобы сразу «проснуться», если пользователь к ним обратится. Как только прозвучит соответствующая фраза, звук начинает записываться и передаваться искусственному интеллекту для обработки. Однако доступ к этим аудиозаписям строго ограничен. Только владелец учетной записи Alexa может просматривать их в приложении и в любое время удалять по своему желанию. Следовательно, злоумышленники, желающие взломать смарт-колонку с целью кражи паролей, должны либо иметь физический доступ к устройству, либо взломать сервер, чтобы получить доступ к аудиозаписям.

Однако сложность в проведении атаки намного превышает возможную выгоду, и киберпреступники вряд ли будут осуществлять ее на практике, считают специалисту. В связи с этим исследование ученых Кембриджского университета интересно с точки зрения изучения акустики, а не кибербезопасности.

Источник: securitylab