事例Use case

【Bitdefender海外ブログ】AlexaとGoogle Homeに脆弱性、盗聴やパスワード盗難も

2020.6.11

ツイート シェア 送る はてブ

google-alexa-800_200611.jpeg
Amazon EchoやGoogle Homeなどの音声認識スピーカーは、一般家庭に普及しつつあります。音楽の再生や照明の操作、あるいは変な質問をして反応を楽しむといった使い方もされています。

しかし、進化は、良いことばかりでもありません。こうしたデジタルアシスタントは、音声認識性能の改善を目的として、録音した会話を定期的にサードパーティの業者に送信しているからです。録音された内容は、ユーザーがプライベート情報や機密情報だと思っているものです。

先日、セキュリティ研究所のSRLabs(Security Research Labs)が明らかにしたところによると、一般家庭で購入されたスマートスピーカーは、「賢い」スピーカーであるにも関わらず、サードパーティ業者による悪用がいとも簡単にできてしまいます。これにより、業者は会話の盗聴や、パスワードやクレジットカード情報の収集さえも可能です。

ドイツにあるこの研究所は、想定される2つの攻撃シナリオを明らかにしています。Amazon AlexaとGoogle Homeどちらのデバイスでも、同様のシナリオを再現できます。

どちらのシナリオも利用するのは、サードパーティの開発者が新しいAlexaスキルやGoogleアクションを申請し、最初の審査を通過したら、その後のアップデートで悪意のある動作が組み込まれても、アマゾンやグーグルはその確認を適切に行うことができない、という脆弱性です。

攻撃シナリオ1:

悪意のある開発者は、一見無害なスキル/アクション をアップデートして、起動できなくなったように見せかけます。以下のデモ動画では、

「このスキルは現在、お客様の国ではご利用いただけません」


という偽のエラーメッセージを流すことで、この見せかけが行われています。スマートスピーカーはその後無音になります。

こうしたメッセージが流れると、ユーザーは普通、スキル/アクションは終了したと錯覚します。しかし実際には、スキル/アクションは無音状態のまま、一定時間(1分かもしれないし、それ以上かもしれません)実行されるようにプログラムされています。

その後、機密情報を要求するフィッシングメッセージが流されます。例えば、次のようなものです。

「重要なセキュリティ更新プログラムがお客様のデバイスでご利用いただけます。『更新開始』と言って、次にパスワードをお知らせください」

もちろん、アマゾンやグーグルのデジタルアシスタントが、パスワードを声で知らせるように求めることは、決してありません。しかし、これに騙されるユーザーがいるであろうことも容易に想像できます。


攻撃シナリオ2:

SRLabsはまた、スキル/アクションが終了したとユーザーに思い込ませた後で、デジタルアシスタントに声が届く範囲で行われた会話を第三者が盗聴することもできると発見しました。

SRLabsは実際に例えば、ハッカーが制御するサーバに音声認識結果を送信し続けるGoogleアクションの作成に成功しています。SRLabsによると、このケースでは30秒以上音声が検出されない状態になると傍受を止めるようにしていますが、必要とあらばもっと長い時間盗聴することも可能です。

セキュリティやプライバシーの関係者はかねてより、会話を聞くことができるデバイスを家庭に置くのはリスクがあると言ってきましたが、その懸念がSRLabsにより実証される形となりました。

特に、サードパーティ製のアプリケーションが、デジタルアシスタントの製造元による適切な審査を経ずに動かすことができるのは、好ましくありません。あるいは、そのアプリケーションが更新される際の審査が不十分なのも同様です。

アプリケーションは、最初の申請時に一度審査すればその後も同じように動く保証があるとアマゾンやグーグルが考えているのであれば、それは重大な判断ミスです。プライバシーを侵害するアプリケーションからデバイスユーザーを守るため、さらなる対策が望まれます。

覚えておいてください。声で反応するデバイスを自宅に置く、ということは、デバイスの製造元だけでなく、そのデバイスで起動するアプリケーションを作ったであろう、数千ものサードパーティ開発者をも信頼することになるのです。

翻訳元記事 Alexa and Google Home devices can be exploited to eavesdrop on users, phish passwords


家の中のWi-Fi機器を可視化して守る、セキュリティWi-Fi

SECURIE(セキュリエ) powered by Bitdefenderは、スマートスピーカーをはじめとしたスマート家電、PC、タブレット、スマートフォンなど、Wi-Fiにつながる機器を、不正アクセスからまとめて保護します。

1. 家の中のWi-Fi接続機器が一目でわかる!
家庭のWi-Fiに新しいデバイスが接続すると、Bitdefender BOXがそれを検知してBitdefender Centralアプリに通知します。管理者はそのデバイスの接続を許可するかどうか、またファミリー・ゲストに振り分けるなどのアクションを取ることができます。

2.デバイス一覧.PNGAmazon Echo、Google Homeなどのスマートスピーカーを接続すると、Centralアプリが自動で機器名を検出します。

2. 家族のプライバシーを守る、プライベートモード
一時的にスマートスピーカーのインターネット接続を止め、家族の会話が聞こえないようにする機能が追加されました。Centralアプリから停止する時間を選ぶだけ。安心して家族の時間を楽しむことができます。

プライベートモード.PNG


★SECURIEなら
自宅のIoT機器のセキュリティ状態が一目でわかる!アプリで簡単診断!
【製品レビュー】自宅のスマート家電のセキュリティ状態が一目でわかる「SECURIE(セキュリエ) powered by Bitdefender」