Рубрика «siri»

В прошлом году у нас уже был дайджест про нетривиальные атаки. Тогда речь шла про DoS-атаку на ПК через акустическое воздействие на жесткий диск и кражу пользовательских данных через хак со стилями CSS. А на прошлой неделе как раз было опубликовано два исследования про уязвимости в тех местах, где их никто особо и не ждет. Правда, в этот раз новости более рутинные: в винчестер жужжать больше пока никто не пробовал. Но тем не менее.

Начнем с относительно простой уязвимости в операционной системе Mac OS X, которую обнаружил (новость, исследование) Боб Гендлер (Bob Gendler). Изучая методы работы голосового помощника Siri на традиционных ПК Apple, Боб обнаружил в системных файлах базу данных с собственными почтовыми сообщениями.

Security Week 47: нетривиальные уязвимости - 1

Отдельная база в файле snippets.db используется процессом com.apple.suggestd. Он отвечает за то, чтобы в результатах при локальном поиске (традиционном или «Siri, покажи сообщения от начальства») появлялись не только файлы и программы, но и подходящие по смыслу почтовые сообщения. По сути там дублируется часть почтовой базы из программы Apple Mail. И это вполне нормально, за исключением единственного момента: Боб шифрует переписку, а в snippets.db эти же сообщения хранятся открытым текстом.
Читать полностью »

Про взлом умных колонок на расстоянии с использованием лазера на прошлой неделе написали почти все СМИ (новость, сайт проекта, научное исследование, пост на Хабре). Тема и правда привлекательная: такой хак в стиле фильмов про Джеймса Бонда. Исследователи из университетов США и Японии показали, как можно передавать голосовые команды на умную колонку на расстоянии до 110 метров (можно и больше, но это не проверялось) направленным лучом лазера. В исследовании проверялись умные колонки Google Home и Amazon Echo, но «уязвимости» на самом деле подвержены любые устройства, способные распознавать голосовые команды и оснащенные высокочувствительными MEMS-микрофонами.

Security Week 46: микрофоны, лазеры и безопасность обучаемых машин - 1

Это все, конечно, очень здорово, но не надо забывать про один важный момент: никто на практике не будет светить лазером в микрофон. Равно как никто не будет считывать изображение с экрана монитора, анализируя излучение его блока питания. Исследование еще раз показало, что у голосовых помощников есть фундаментальная уязвимость по части авторизации владельца, а также что атаку можно проводить на приличном расстоянии. Чем дальше, тем больше мы будем зависеть от точности распознавания окружающего мира компьютерами. Человеческой речью эта проблема не ограничивается, а для безопасности куда большую роль играет способность машины точно идентифицировать знак ограничения скорости или разметку на асфальте.
Читать полностью »

Голосовые помощники — не далёкое будущее, а реальная действительность. Alexa, Siri, Google Now, Алиса встроены в «умные» колонки, часы и телефоны. Они постепенно меняют наш способ взаимодействия с приложениями и устройствами. Через ассистента можно узнать прогноз погоды, купить билеты на самолет, заказать такси, послушать музыку и включить чайник на кухне, лежа на диване в другой комнате.

«Алиса, пойдём во фронтенд!» - 1

Siri или Alexa говорят с пользователями в основном по-английски, поэтому в России они не так популярны, как Алиса от Яндекса. Для разработчиков Алиса тоже удобнее: её создатели ведут блог, выкладывают удобные инструменты на GitHub и помогают встраивать ассистента в новые устройства.

Никита Дубко (@dark_mefody в Твиттере) — разработчик интерфейсов в Яндекс, организатор митапов MinskCSS и MinskJS и редактор новостей в Web-стандартах. Никита не работает в Яндекс.Диалогах и никак не связан с Яндекс.Алисой. Но ему было интересно разобраться, как Алиса работает, поэтому он попробовал применить её навыки для Web и подготовил об этом доклад на FrontendConf РИТ++. В расшифровке доклада Никиты рассмотрим, что полезного могут принести голосовые помощники и построим навык прямо в процессе чтения этого материала.
Читать полностью »

Подрядчики Microsoft рассказали о прослушке звонков в Skype - 1

Подрядчики, работающие на Microsoft, возможно, могут прослушивать личные разговоры пользователей Skype. Об этом представители компании, название которой не раскрывается, рассказали изданию Motherboard.

В 2015 году Skype запустил услугу «Переводчик», которая переводит разговор прямо во время звонка. Инструмент даёт возможность пользователям Skype разговаривать или переписываться в чате на разных языках с людьми по всему миру. Для этого Skype использует искусственный интеллект, но, как и во многих других проектах с применением ИИ или машинного обучения, часть работы выполняется людьми для улучшения алгоритмов его функционирования.

При этом в FAQ для Skype Translator говорится: «Чтобы помочь технологии развиваться, мы проверяем автоматические переводы и отправляем исправления обратно в систему для создания более эффективных сервисов». Однако в этом разделе не сообщается, что аудио, захваченное с помощью функции «Переводчик», могут слушать живые люди.
Читать полностью »

Security Week 32: дыра в iMessage, приватность голосового ввода - 122 июля Apple выпустила обновление операционной системы iOS до версии 12.4, в котором были закрыты три серьезные уязвимости, обнаруженные экспертом из команды Google Project Zero Натали Сильванович. Самая опасная (CVE-2019-8646) позволяет красть данные с удаленного устройства без вмешательства пользователя. Теоретически возможна и запись произвольной информации, но реальный масштаб потенциального ущерба для владельцев уязвимых смартфонов и планшетов пока до конца не изучен.

Информации по другим уязвимостям пока немного, известно лишь, что одна из них (CVE-2019-8647) может вызвать падение модуля SpringBoard, отвечающего за отрисовку домашнего экрана устройств на базе iOS.

Сильванович выложила Proof of Concept для CVE-2019-8646, реализующий типичный сценарий эксплуатации: подготовленное сообщение в iMessage, при обработке которого на сервер злоумышленника отправляются данные, которые не должны туда отправляться. Посмотрим на эту уязвимость более внимательно и заодно поговорим о человеческом факторе в обработке голосовых сообщений для Siri и других голосовых помощников.
Читать полностью »

В Apple глобально прекратили прослушку пользователей через Siri, которая велась для улучшения качества сервиса - 1

После многочисленных жалоб от своих потребителей, в Apple решили приостановить программу оценки качества голосового помощника Siri, предполагающую прослушку менее 1% обращений пользователей, сообщает агентство Bloomberg.
Читать полностью »

Этот выпуск нашего дайджеста затрагивает вопросы деления пиццы, работы CarPlay, обсуждает Google I/O, развитие приложений в 2019, консоль-шарманку и ошибки пуш-уведомлений.

Дайджест интересных материалов для мобильного разработчика #299 (20 — 26 мая) - 1Читать полностью »

Хакаем CAN шину авто. Виртуальная панель приборов - 1

В первой статье «Хакаем CAN шину авто для голосового управления» я подключался непосредственно к CAN шине Comfort в двери своего авто и исследовал пролетающий траффик, это позволило определить команды управления стеклоподъемниками, центральным замком и др.

В этой статье я расскажу как собрать свою уникальную виртуальную или цифровую панель приборов и получить данные с любых датчиков в автомобилях группы VAG (Volkswagen, Audi, Seat, Skoda).

Мною был собран новый CAN сниффер и CAN шилд для Raspberry Pi на базе модуля MCP2515 TJA1050 Niren, полученные с их помощью данные я применил в разработке цифровой панели приборов с использованием 7″ дисплея для Raspberry Pi. Помимо простого отображения информации цифровая панель реагирует на кнопки подрулевого переключателя и другие события в машине.

В качестве фреймворка для рисования приборов отлично подошел Kivy для Python. Работает без Иксов и для вывода графики использует GL.

  1. CAN сниффер из Arduino Uno
  2. Подслушиваем запросы с помощью диагностической системы VAG-COM (VCDS)
  3. Разработка панели приборов на основе Raspberry Pi и 7″ дисплея
  4. Софт панели приборов на Python и Kivy (UI framework)
  5. Видео работы цифровой панели приборов на базе Raspberry Pi

Под катом полная реализация проекта, будет интересно!
Читать полностью »

Автоматизация квартиры с HomePod, Raspberry Pi и Node.js - 1

Перевели для вас статью Криса Хокинса, в которой он рассказывает о превращении своей квартиры в умный дом. В качестве базы используется HomePod от Apple, но, конечно, можно применять и другие системы.

У меня дома работает Apple HomePod, который помогает контролировать определенные системы в доме (к примеру, умные лампы) при помощи обычного запроса к Siri. Работает система как из дома, так и вне его (умный помощник есть на телефоне).
Читать полностью »

Итоги 2018 года: какие прогнозы сбылись в сфере платежей - 1

Уходящий 2018 год для платежей и коммерции оказался невероятно богат на события.

За прошедшие 12 месяцев выросла популярность применения интернет-устройств в этой сфере.

Ключевые игроки сделали большой шаг в сторону консолидации экосистемы платежей, упрощения процесса оплаты и масштабирования.

Регуляторы США и других стран внедрили новые правила предоставления платежных и финансовых услуг, ставящие под угрозу структуру и существование технологических гигантов.

Несмотря на обилие новостей, утверждающих, что физический ритейл жив и остается на плаву, все больше потребителей стали отказываться от традиционных магазинов в пользу онлайн-покупок и быстрой доставки.

Примерно год назад Карен Уэбстер, журналист новостного аналитического издания PYMNTS и автор этого материала, сделала несколько предположений о том, какими могут стать платежи в 2018 году. Тогда она выделила несколько общих тем, которые, по ее мнению, должны были определить события грядущего года. В этом материале она возвращается к своим прогнозам и проверяет, насколько точными они оказались.

Прогноз первый: влиятельные игроки еще больше усилят свои позиции

Участники рынка, достигшие крупных размеров, должны были расширить свое присутствие в экосистеме и упрочить отношения с потребителями. Почему? Потому что платежи и коммерция — это про масштабы.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js