Napadači mogu prevariti Echo zvučnike da sami hakuju

Sadržaj:

Napadači mogu prevariti Echo zvučnike da sami hakuju
Napadači mogu prevariti Echo zvučnike da sami hakuju
Anonim

Key Takeaways

  • Istraživači su uspjeli prevariti neke Echo pametne zvučnike da reproduciraju audio fajlove sa zlonamjernim uputstvima.
  • Uređaji tumače uputstva kao komande stvarnih korisnika, omogućavajući hakerima da preuzmu kontrolu.
  • Hakeri tada mogu koristiti hakovane zvučnike da preuzmu druge pametne uređaje, pa čak i da prisluškuju korisnike.
Image
Image

U žurbi da svoje domove obrube pametnim uređajima, mnogi korisnici zanemaruju sigurnosne rizike koje predstavljaju pametni zvučnici, upozoravaju stručnjaci za sigurnost.

Slučaj za to je nedavno zakrpljena ranjivost na nekim Amazon Echo uređajima, koju su istraživači sa Univerziteta u Londonu i Univerziteta u Kataniji, Italija, uspjeli iskoristiti i koristiti za naoružanje ovih pametnih zvučnika da sami hakuju.

"Naš napad, Alexa protiv Alexa (AvA), prvi je koji je iskoristio ranjivost samoizdajućih proizvoljnih komandi na Echo uređajima", napominju istraživači. "Provjerili smo da, putem AvA, napadači mogu kontrolirati pametne uređaje u domaćinstvu, kupovati neželjene artikle, mijenjati povezane kalendare i prisluškivati korisnika."

Friendly Fire

U svom radu, istraživači demonstriraju proces kompromitovanja pametnih zvučnika navodeći ih da puštaju audio fajlove. Jednom kompromitovani, uređaji bi se mogli sami probuditi i početi izvršavati komande koje je izdao udaljeni napadač. Istraživači demonstriraju kako napadači mogu mijenjati aplikacije preuzete na hakirani uređaj, obavljati telefonske pozive, naručivati na Amazonu i još mnogo toga.

Istraživači su uspješno testirali mehanizam napada na Echo Dot uređajima treće i četvrte generacije.

Zanimljivo je da ovaj hak ne zavisi od lažnih zvučnika, što dodatno smanjuje složenost napada. Štaviše, istraživači primjećuju da je proces eksploatacije prilično jednostavan.

AvA počinje kada Echo uređaj započne strujanje audio datoteke koja sadrži glasovne komande koje varaju zvučnike da ih prihvate kao redovne komande koje izdaje korisnik. Čak i ako uređaj traži sekundarnu potvrdu za izvršenje određene radnje, istraživači predlažu jednostavnu naredbu "da" otprilike šest sekundi nakon zlonamjernog zahtjeva dovoljna da se izvrši usklađenost.

Beskorisna vještina

Istraživači demonstriraju dvije strategije napada kako bi natjerali pametne zvučnike da puštaju zlonamjerni snimak.

U jednom, napadaču bi trebao pametni telefon ili laptop u dometu Bluetooth uparivanja zvučnika. Iako ovaj vektor napada u početku zahtijeva blizinu zvučnika, nakon uparivanja, napadači se mogu povezati sa zvučnicima po želji, što im daje slobodu da sprovedu stvarni napad u bilo koje vrijeme nakon početnog uparivanja.

U drugom, potpuno udaljenom napadu, napadači mogu koristiti internet radio stanicu da natjeraju Echo da reproducira zlonamjerne komande. Istraživači napominju da ova metoda uključuje prevaru ciljanog korisnika da preuzme zlonamjernu Alexa vještinu na Echo.

Svako može kreirati i objaviti novu Alexa vještinu, za koju nisu potrebne posebne privilegije za pokretanje na uređaju na kojem je omogućena Alexa. Međutim, Amazon kaže da su sve pristigle vještine provjerene prije nego što krenu uživo na Alexa skills store.

Image
Image

Todd Schell, viši menadžer proizvoda u Ivantiju, rekao je za Lifewire putem e-pošte da ga strategija AvA napada podsjeća na to kako bi hakeri iskoristili WiFi ranjivosti kada su ovi uređaji prvi put predstavljeni, vozeći se po četvrtima s WiFi radiom kako bi provalili u bežičnu mrežu pristupne tačke (AP) koristeći podrazumevane lozinke. Nakon kompromitovanja AP-a, napadači bi ili tražili više detalja ili samo izvodili napade okrenute prema van.

"Najveća razlika koju vidim s ovom najnovijom [AvA] strategijom napada je da nakon što hakeri dobiju pristup, mogu brzo obavljati operacije koristeći lične podatke vlasnika bez puno posla," rekao je Schell.

Schell ističe da će dugoročni uticaj nove AvA-ove strategije napada zavisiti od toga koliko brzo se ažuriranja mogu distribuirati, koliko vremena je ljudima potrebno da ažuriraju svoje uređaje i kada ažurirani proizvodi počnu da se isporučuju iz fabrike.

Da bi procijenili utjecaj AvA u većoj mjeri, istraživači su proveli anketu na studijskoj grupi od 18 korisnika, koja je pokazala da se većina ograničenja protiv AvA, koja su istakli istraživači u svom radu, jedva da se koristi u praksi.

Schell nije iznenađen. "Svakodnevni potrošač ne razmišlja unaprijed o svim sigurnosnim pitanjima i obično je fokusiran isključivo na funkcionalnost."

Preporučuje se:

Niste sami ako ne čitate korisničke priručnike

Niste sami ako ne čitate korisničke priručnike

Štampani korisnički priručnici mogli bi proći po strani, prema novom istraživanju

Zašto biste trebali imati pravo da sami popravljate svoje uređaje

Zašto biste trebali imati pravo da sami popravljate svoje uređaje

Predsjednik Bajden je nedavno potpisao izvršnu naredbu u korist Pokreta za pravo na popravku, pozivajući proizvođače da dozvole korisnicima da sami popravljaju svoje uređaje

Zašto automobili koji se sami voze možda nikada neće uspjeti

Zašto automobili koji se sami voze možda nikada neće uspjeti

Samovozeći automobili bi trebali biti odgovor na sve naše probleme gradskog prijevoza i zagađenja, ali vjerovatno nikada neće biti dovoljno dobri

Ne mogu pokrenuti moj Mac - Kako mogu popraviti svoj tvrdi disk?

Ne mogu pokrenuti moj Mac - Kako mogu popraviti svoj tvrdi disk?

Mac ima tri opcije za hitno pokretanje ili popravku: pokretanje s drugog uređaja, sigurno pokretanje i jednokorisnički način rada

Kako automobili koji se sami voze mogu biti hakirani

Kako automobili koji se sami voze mogu biti hakirani

Novi izvještaj tvrdi da samovozeća vozila postaju podložnija hakiranju, iako rasprostranjeno hakovanje i krađa automobila još ne bi trebali biti zabrinuti