Bezpečnostní novinky

Virtuální asistent – dobrý sluha, ale zlý pán?

Martin Hron, 13. února 2018

Hlasový asistent je skvělý pomocník v domácnosti, stejně tak ale může posloužit hackerům k získání soukromých dat nebo dokonce k vloupání.

Ještě pořád vám dělá problém ráno vstát? Chtěli byste, aby vám někdo připomínal, co vše máte dnes naplánováno? Není problém. Hlasoví asistenti jako je Google Home nebo Alexa od Amazonu to umí. Tato chytrá zařízení na váš pokyn například pustí hudbu, připomenou, co máte dnes v kalendáři, pomohou s online nákupem nebo vás každé ráno probudí. Virtuální asistenti se spolu s dalšími zařízeními Internetu věcí (IoT) stále častěji stávají běžnou součástí domácností. Podle průzkumu Dimensions Data je budou v roce 2018 stále více využívat i firmy.

Hlasoví pomocníci jsou na jednu stranu užiteční, zároveň však obsahují mnoho citlivých dat. Čím víc je lidé budou využívat, tím atraktivnějším terčem se stanou pro hackery.

Výchozí nastavení zabezpečení hlasových asistentů bývají zpravidla nedostatečná. Většinou, stejně jako u mnoha jiných IoT zařízení, jsou nastavena tak, aby jejich zprovoznění a nastavení bylo pro uživatele co nejjednodušší. Nastavení bývá hotové během několika minut, což je sice pohodlné pro majitele zařízení, avšak výměnou za nízkou a v některých případech i žádnou bezpečnost.

Způsob, jakým svá zařízení nastavíme a co vše jim povolíme dělat za nás, je přitom zásadní. Mnohé uživatele ani nenapadne změnit si výchozí nastavení, protože si pravděpodobně nejsou vědomi možných rizik, anebo zkrátka věří, že je zařízení bezpečné.

Vaše osobní maily pro všechny

Jedním z prvních kroků, které uživatel při počátečním nastavování zařízení udělá, je propojení hlasového asistenta s jednotlivými účty online služeb, jako jsou například Amazon, Gmail, Google kalendář nebo Spotify. Tato na první pohled nevinná aktivita však může mít své nechtěné důsledky. Bez zabezpečeného přihlašování, tedy aniž by hlasový asistent před daným úkolem ověřil, zda se jedná o pravého majitele zařízení, může asistent například číst nahlas obsah e-mailové schránky nebo uskutečňovat objednávky na pokyn kohokoliv, kdo mu takový úkol zadá. V praxi to znamená, že bez řádného zabezpečení se k osobním informacím uživatele dostanou například další členové rodiny nebo kdokoliv v domácnosti.

Děsivé příkazy zvenčí – sci-fi nebo skutečnost?

K tomu, aby hacker ovládal zařízení, přitom nemusí být v jeho fyzické blízkosti, ani se do něj nemusí nabourat. Stačí, aby se útočník dostal do zranitelného routeru a přes něj pak může ovládat jiná na něj připojená IoT zařízení. Hacker může dojít tak daleko, že ovládne jiné zařízení s reproduktorem, skrz které úkoluje hlasového asistenta. Bez řádného zabezpečení může tedy hlasový pomocník poslechnout kohokoliv.

Zloději mohou přes hlasového asistenta získat přístup i do celého domu nebo bytu. Pokud domácnost používá chytrý zámek a hacker napadne domácí síť, může se napojit na další IoT zařízení schopné přehrávat zvuk a pomocí nich navést hlasového asistenta k otevření vstupních dveří. Pro někoho to může znít jako sci-fi, ale bohužel jde o reálný scénář, který už naši bezpečnostní experti vícekrát demonstrovali.

Je důležité znát bezpečnostní rizika

Čím více hlasových asistentů a podobných IoT zařízení budeme v domácnostech mít, tím častěji se taková zařízení budou stávat cílem kyberzločinců. Je třeba zvýšit povědomí o rizicích chytrých zařízení, aby si uživatelé lépe uvědomovali nedostatky výchozího nastavení zabezpečení a více zvažovali, jakým způsobem hlasové asistenty budou používat.