「AlexaとGoogle Home」で盗聴/パスワード盗難の可能性を警告！

Amazonが提供している「 Alexa 」やグーグルが提供している「Google Home」など音声で指示を与えるインターフェースを持つスマートスピーカーは米国を中心に日本でも利用しているユーザーが増えてきています。

「Alexa」や「Google Home」が幅広く普及を見せる中、ベルリンのセキュリティ研究機関であるSRLabs(Security Research Labs)は、スマートスピーカーを、スマートスパイへと変化させる脆弱性が存在することを警告しています。

「Alexa」や「Google Home」には、【Skills for Alexa】や 【Actions on Google Home】といった、サードパーティ独自のアプリを提供することが可能となっています。これによって、スマートスピーカーの機能を拡張することが可能となっています。

ベルリンのセキュリティ研究機関であるSRLabsは、スマートスパイという盗聴行為等を可能にするアプリを実際に開発し、AmazonとGoogleの承認プロセスを回避し、Amazon Echo やGoogle Homeで実際に動作可能であることを実証しています。

サードパーティのアプリが動作する仕組みは、最初にスマートスピーカーがユーザーに質問した後、マイクが少しの時間だけアクティブになるというものです。

わかりやすく説明をすると、ユーザーがショッピングアプリのバスケットに何かを追加するよう「Alexa」に依頼すると、アプリは製品の詳細を確認して、依頼した内容がユーザーの注文にあっているかを確認します。

その際に「Alexa」「Google Home」のマイクが数秒だけアクティブになりイエスかNoかを待ち、通常のアプリであればスマートスピーカーのマイクは再びオフになります。

このような標準的な音声UIを利用して、SRLabsの研究者らは、スマートスパイアプリを開発し、2つの方法で盗聴とパスワード盗難のプライバシーを侵害可能で有ることついて実証をおこないました。

SRLabsの研究者らは、スマートスパイアプリを開発し実証を行いました。実証の中で、悪意あるアプリはAlexaがマイクを有効にしたまま保持することが判明しています。

悪意あるアプリの、マイクを有効にしたまま保持する行為については、スマートスピーカーへの質問や確認のあとに長い一時停止を引き起こす特定の文字列を使用すれば実現できるとのことです。

その間の会話はログに記録され、攻撃者のサーバーに送信される仕組みとなっており、その仕組みによってユーザーの盗聴が実現するようになってしまうとのことです。

「GoogleHome」での盗聴やパスワード盗難などフィッシングについても、基本的な原理は同様とのことです。

たとえば運勢占いアプリで「あなたの国では使用が許可されていません」などのエラーメッセージを返し、その後に長い一時停止を使用するとのことです。

悪意あるアプリは、先ほどの運勢占いアプリは終わって何の関係もないとユーザーを安心させてから、アマゾンやGoogleを装ってパスワードを聞き出す質問を投げかけるといった仕組みとなっています。

Smart Spiceなど偽装アプリは、全てGoogleおよびアマゾンにより承認されることになりましたが、SRLabsは調査結果を両社に非公開で報告した後、Smart Spiceなど偽装アプリは削除されています。

「Alexa」も「Google Home」も、いずれの企業も、スキルとアクションが同様の機能を持つことを防げるようアプリの承認プロセスを変更すると公表しているとのことです。

特に今回の盗聴については、スマートスピーカー登場時から度々指摘されてきた点となっており、今回のようにサードパーティ製のアプリを装ってサイバー攻撃者が盗聴機能を組み込んでくる可能性は否定出来ないとしています。

SRLabsはGoogleやアマゾンに審査の厳正化を求める一方で、ユーザーにもスマートスピーカーを悪用した音声アプリの盗聴やパスワード盗難など潜在的な危険をもっと自覚する必要があるとしています。

スマートスピーカーは便利なツールでは有るが、プライバシーと密接に関わる機器でも有るため、十分に注意する必要があるとされています。