Jak donosi serwis Niebezpiecznik.pl, niemal każde urządzenie z Androidem można łatwo zhakować z użyciem komend głosowych. Producenci antywirusów są bezradni.
Google Voice Search (GVS) to głosowy asystent systemu Android, domyślnie zainstalowany na zdecydowanej większości urządzeń z tym systemem - znajduje się w standardowym pakiecie aplikacji Google'a. Jak się okazuje, może być on wykorzystany do zdalnego przejęcia kontroli nad urządzeniem.
Aby było to możliwe, użytkownik telefonu musi najpierw zainstalować niepozorną aplikację. Niepozorną, bo ta nie będzie wymagała zatwierdzenia dostępu do jakichkolwiek zasobów telefonu. Może ona przyjąć formę np. efektownego widżetu na pulpit, gry czy narzędzia do pobierania darmowych tapet.
Razem z aplikacją do pamięci telefonu trafią nagrania komend głosowych albo jeszcze prościej - mechanizm wykorzystujący generator głosu Google Text-to-Speech (wtedy aplikacja będzie jeszcze mniejsza). Gdy pójdziemy spać, smartfon zacznie "szeptać" komendy do GVS.
Tym sposobem aplikacja może podyktować SMS-y premium, zacząć rozsyłać e-maile, sprawdzić adres IP, lokalizację na podstawie GPS-i czy sprawdzić dane z kalendarza. O ile dodatkowy program nie będzie miał do tych informacji uprawnień, to już głosowy asystent Google'a ma ich komplet.
Jeszcze gorzej, gdy w czasie instalacji programu nie zwrócimy uwagi na dodatkowe uprawnienia programu. Jedno nieroztropne zatwierdzenie i z telefonu wywędruje nasza książka telefoniczna, SMS-y czy historia połączeń. A wszystko to pod osłoną nocy.
Odpowiedni czas do ataku aplikacja ustali na podstawie godziny (badacze sugerują atak około 4 rano), czujnika jasności otoczenia czy akcelerometru, może też sprawdzić czy jest włączony ekran albo odczytać zawartość pamięci RAM. Sposobów na skuteczne włamanie jest wiele, niewiele natomiast jest sposobów obrony.
Bezpiecznie czuć mogą się jedynie osoby korzystające z alternatywnych wersji programowania dla smartfonu czy tabletu, do których pakiet aplikacji Google'a doinstalowuje się ręcznie (kwestie licencyjne). Jeśli nie zainstalujemy GVS na naszym Cyanogen-Modzie, możemy spać spokojnie.
Trudniej też będzie hakerom dostać się tą metodą do telefonu z blokadą ekranu kodem czy gestem. Szeptanie komend może się wtedy uruchomić dopiero podczas korzystania ze smartfonu, a to już łatwo zauważyć.
Kompletnie bezużyteczne okazują się natomiast wszelkie antywirusy. W przytoczonym przez Niebezpiecznik.pl badaniu, aplikacje AVG, McAfee Avira, ESET Mobile i Norton Mobile Security nie zareagowały na atak.
Źródło zdjęć: Google
Źródło tekstu: Niebezpiecznik
