erid 2SDnje4KwUm

Помощник или домашний шпион: подслушивают ли умные колонки своих владельцев?

Премия Securitymedia
Помощник или домашний шпион: подслушивают ли умные колонки своих владельцев?
Помощник или домашний шпион: подслушивают ли умные колонки своих владельцев?
20.02.2023

За последние годы в сеть попало огромное количество данных о россиянах. Уже никого не удивляет, что мошенники во время «обзвона» знают не только ФИО своего «клиента», но и список счетов, некоторые персональные данные, вплоть до места проживания.

На этом фоне растет запрос на приватность, а вместе с ним – и недоверие к разной современной технике, так называемому «интернету вещей». Наибольшие вопросы вызывают «флагманы» IoT – умные колонки, поскольку они «слышат» буквально все, что происходит в комнате или всей квартире.

В этой статье будут рассмотрены основные аспекты приватности смарт-колонок и вероятность того, что данные, которые они обрабатывают, могут быть доступны третьим лицам или использованы компанией-производителем в третьих целях.

Что слышит умная колонка

У рядовых пользователей смарт-колонок часто возникает вопрос – в какой момент их девайс «активируется» и начинает слушать разговоры. Распространено мнение, что до произнесения кодовой фразы устройство находится в неактивном режиме, и это действительно так.

Николай Хечумов

Инженер по информационной безопасности, Avito

Чудес не бывает, и для включения по голосовой команде колонке нужно непрерывно анализировать поток с микрофона. Другой вопрос – что конкретно колонка делает с этим потоком. Самый очевидный и правильный ответ – речь распознается локально, а сам звук в фоновом режиме никуда не передается и не сохраняется. Однако ничто не мешает любому производителю внести изменения в эту логику с очередным обновлением.

Однако, фоновый режим не означает, что устройство не слышит, что происходит вокруг, и не анализирует эту речь. В сети широко разошелся кейс пятилетней давности, когда умная колонка от Google самостоятельно вызвала полицию в ходе домашней ссоры.

Следовательно, можно предположить, что у любой колонки есть набор слов-триггеров, для каждого из которых есть определенный алгоритм действия, и он не ограничивается активацией при прямом «обращении» к устройству.

Исходя из этой информации, можно выделить три алгоритма взаимодействия со смарт-колонкой:

  1. Нулевое доверие. После взаимодействия с колонкой пользователю необходимо отсоединить ее от сети.
  2. Оптимальный вариант. Записывать, хранить и обрабатывать всю речь всех пользователей не станет ни один производитель, поскольку «КПД» у этого процесса всегда будет низким. Соответственно, пока пользователь не обсуждает в поле действия колонки «триггерные» темы – рисков нет.
  3. Абсолютное доверие. При таком исходе смарт-колонку можно спокойно устанавливать прямо в кабинете генерального директора или комнате для переговоров.

Также, важно разделять реальные риски и конспирологию. Теоретически, весьма вероятно что любой производитель колонки находится в определенной зависимости от одного государства или целой группы стран, в юрисдикции которых продвигает свои продукты. Можно предположить, что, по запросу спецслужб, они будут обязаны предоставить условно-легитимный доступ к системам, возможно, даже к данным с конкретного устройства. Однако, точно такой же доступ спецслужбы гарантированно могут получить к мобильному телефону, данным социальных сетей, поисковым запросам, ПК подозреваемого и ряду других устройств, данных.

Возможности спецслужб весьма обширны, и вместе с тем – достаточно ограничены, поскольку устроить «паноптикум» с тотальной слежкой всех за всеми достаточно просто в теории и крайне сложно на практике, когда весь получаемый объем данных нужно где-то хранить, архивировать, но самое главное – быстро обрабатывать с целью поиска «целевого контента».

Алексей Лазарев

Руководитель направления Рутокен Модуль Компании «Актив»

Могут ли этими возможностями воспользоваться спецслужбы по особому запросу? Мы точно не знаем. Может ли этим воспользоваться рядовой злоумышленник, не имеющий административного доступа в глобальную систему или доступа в ваш личный аккаунт. Нет. Любая современная система, тем более такая, как инфраструктура Яндекс, содержит надежные механизмы, предотвращающие атаки извне, как на уровне конечной точки, так и на уровне системы в целом. Сливы информации о пользователе, как правило происходят через инсайдеров, имеющих доступ к обработке пользовательских данных. И с ними ожесточенно борется любой обладатель базы с персональными данными пользователей, поскольку инциденты с утечками – это мощнейший удар по репутации бизнеса.

В арсенале злоумышленников есть миллион других, более дешевых способов завладеть данными пользователя, о нем самом, данными о его местоположении и голосовой биометрией. Эти способы не без успеха используют телефонные мошенники. При этом, в большинстве случаев эти данные предоставляют сами пользователи. А чтобы ваш аккаунт не «угнали», раздобыв логин и пароль, рекомендуется использовать строгую двухфакторную аутентификацию либо аутентификацию с одноразовым паролем.

Может ли хакер использовать умную колонку для прослушивания

Если подойти к этому вопросу как к математической задаче, то, с большой долей вероятности, у нее есть решение. То есть киберпреступник, в теории, может взломать устройство и начать «слушать» речь пользователя. Однако, если вернуться из мира уравнений в реальность, возникает вопрос – а кому и зачем это нужно?

Если злоумышленник смог взломать внутреннюю сеть, частную или корпоративную, у него есть десятки более простых и эффективных способов извлечь пользу из этого взлома, чем возиться с умной колонкой, выкачивать из нее данные и, что самое важное, тратить огромное количество времени на анализ полученной информации, которая вполне может оказаться « белым шумом» – если только пользователь не имеет привычку вслух проговаривать все свои пароли, логины и корпоративные учетные записи за утренним кофе.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Опасность умных колонок сильно преувеличена. Если злоумышленник проникнет в вашу домашнюю сеть, то там есть более интересные вещи, нежели чем подслушивание бытовых разговоров через умную колонку. Кроме того, есть более простые способы обмануть людей на деньги – это фишинг, социальная инженерия, вирусы шифровальщики и многое другое. Ну и если предположить, что вашу колонку взломали и подслушиваю вас, то это абсолютно не эффективно для злоумышленников, так как слежение посредством аудио занимает много времени, а результат не гарантирован.

Единственная крупная опасность может заключаться в интеграции умной колонки в систему умного дома. Но, при таком подходе злоумышленник имея доступ к колонке, будет иметь доступ и к инфраструктуре умного дома. Но, защита умного дома, это совершенно другая история и тема для отдельной статьи.

Можно предположить, что взлом смарт-колонки был бы актуален в случае таргетированной атаки, когда цель – это, например, политик или топ-менеджер крупной компании, либо просто известная личность. Модель угроз для таких персон отличается от киберрисков стандартного пользователя сети. Однако, как показывает практика, даже в таких случаях злоумышленники чаще «целятся», в смартфоны, банально потому что пользователь чаще с ними взаимодействует, а значит – больше шансов реализовать атаку через фишинговую рассылку или другие методы социальной инженерии.

А что российские колонки?

Утечка исходного кода из репозитория одного из крупных производителей смарт-девайсов, которую в IT-комьюнити уже успели назвать «самым большим вкладом в опенсорс», снова возродила споры о том, насколько безопасно пользоваться их продуктом. Причиной для этого стали найденные при анализе утечки фразы, которые пользователи используют для активации колонки.

Алексей Дрозд

Начальник отдела информационной безопасности «СерчИнформ»

Чисто технически препятствий для этого нет. Например, «Алиса» слушает пользователя в ожидании команды активации. Но, проанализировав утекшие у Яндекса исходные коды, исследователи выяснили, что это происходит локально, то есть данные никуда не передаются. Передача голосовых команд вовне начинается, только когда устройство активно. С другой стороны, все зависит от реализации – есть и обратные примеры. Можно вспомнить скандал с умными дверными звонками Ring, которые автоматически пересылали данные без ведома пользователей, и они никак не могли на это повлиять.

Нужно полагаться на честность производителя. Хорошо, если есть «аналоговый» способ убедиться, что устройство ничего не «пишет». Например, физический переключатель, кнопка, которая отключает микрофон. Если производитель еще и прозрачно заявляет об этом – как тот же Яндекс, который открыто опубликовал схему работы микрофона в «Яндекс.Станциях» – это дополнительная удача.

На основе данных утечки можно прийти к выводу, что российский бигтех работает только с целевыми запросами, которые нужны для обучения самого девайса. Все остальное, в отсутствии подтверждающей информации – это просто частное мнение отдельных людей, которое, в конечном итоге, упирается в «верю – не верю».

Данные пользователя как «белый» товар

Давно уже не секрет, что многие бигтехи и крупные ИТ-компании крайне заинтересованы в анализе пользовательских данных для последующего создания таргетированной и контекстной рекламы. Хорошо это или плохо – вопрос диалектический, поскольку «бигдата» давно уже стала частью объективной реальности и важным сегментом рынка.

Фактически, если компания использует обезличенные данные – то никаких проблем для пользователя это не влечет, за исключением появления бОльшего количества рекламы в его ленте поиска.

Сергей Белов

CEO, AtreIdea

Если данные хранятся и обрабатываются правильно, то обезличенные данные должны быть защищены от идентификации конкретного пользователя. Обычно, когда компания говорит, что она анонимизирует данные, это означает, что она удаляет информацию, которая может идентифицировать пользователя (например, имя, адрес, номер телефона и т.д.). Тем не менее, можно использовать другие данные (например, IP-адрес, местоположение, использование устройства и т.д.), чтобы идентифицировать пользователя.

Нельзя исключить, что компания, используя обезличенные данные, может попытаться получить дополнительную информацию о пользователях и использовать ее для улучшения своих продуктов. Однако, в хорошо управляемой системе, которая соблюдает современные стандарты конфиденциальности и безопасности, должны существовать меры, чтобы предотвратить возможность идентификации пользователя на основе обезличенных данных.

Кроме того, такие данные, как записи голосовых запросов, могут быть подвержены риску несанкционированного доступа или утечки. Поэтому важно, чтобы компании, которые собирают и обрабатывают данные пользователей, следовали соответствующим стандартам конфиденциальности и безопасности, чтобы минимизировать риски для пользователей.

Применительно к Яндексу и их умной колонке, последняя утечка может косвенно говорить о том, что процессы деперсонализации данных в компании есть, и работают они достаточно эффективно, поскольку идентифицировать имеющиеся запросы с конкретными пользователями никто не смог.

Однако, это не значит, что процесс работы с данными в этой компании, как и в любой другой, априори идеален. Сама же компания, по результатам внутреннего разбирательства, заявила о том, что нашла факты нарушения корпоративной этики и ряд других нарушений, связанных с соблюдением регламента работы с кодом или данными.

Итоги

Умная колонка, безусловно, слышит очень многое вокруг себя. Однако, эти данные, в 99% случаев, представляют крайне низкий интерес что для самой компании, что для силовых служб, что для киберпреступников, поэтому затраты на их обработку всегда будут малоэффективны, что не отмечает риски «таргетированной прослушки» для ряда «ВИП-пользователей».

С точки зрения хакерской активности, умная колонка – это далеко не самая привлекательная цель, поскольку искомые данные о пользователе можно получить из других, менее взломостойких источников, при условии наличия доступа к сети.

Основным вопросом с точки зрения эксплуатации умной колонки остается доверие к производителю, поскольку проверить устройство самостоятельно достаточно сложно. Однако, независимо от уровня доверия, не стоит ставить умную колонку посреди переговорной комнаты субъекта КИИ или в кабинете директора компании.


Комментарии 0