ニュース 2019.12.19 独セキュリティ企業がスマートスピーカーを悪用した盗聴やフィッシングを実証

同社によると、ドイツのセキュリティ企業「Security Research Labs（SRL）」が「Google Home」「Amazon Alexa」らのスマートスピーカーで利用されるアプリを使って実験を行ったところ、ユーザーのアカウント情報や決済情報などの個人情報が窃取可能であることが確認されたという。

SRLの実証実験では、まず無害なアプリを作成してグーグルとアマゾンの審査を通過し、その後でアプリ起動後のメッセージを変更する手法が用いられた。

具体的には「重要なセキュリティ更新プログラムが利用可能です。更新開始と発言してパスワードをお知らせください」というメッセージを再生させて、そこでユーザーがパスワードを読みあげてしまえば個人情報を窃取することが可能となる。

その他、盗聴の手法についても様々な技術を駆使して実証が行われた。

例えば「停止して（Stop）」という音声コマンドの言葉で実行される機能を変更して一時停止が長く続くようにしておけば、ユーザーにアプリが終了したと思い込ませ、その後の会話内容を攻撃者に送るように変更することもできるという。

SRLは、今回実証された手法については既にグーグルとアマゾンに通知しており、両社とも実験で使用したアプリは削除している。

【関連リンク】

・スマートスピーカー「Google Home」や「Alexa」を悪用して盗聴やフィッシング攻撃を行う手法が実証される（トレンドマイクロ）
https://blog.trendmicro.co.jp/archives/22976

・Smart Spies: Alexa and Google Home expose users to vishing and eavesdropping（Security Research Labs）
https://srlabs.de/bites/smart-spies/

TEXT：セキュリティ通信 編集部
PHOTO：iStock