Folje kryesore
- Studiuesit kanë arritur të mashtrojnë disa altoparlantë inteligjentë Echo për të luajtur skedarë audio të mbushur me udhëzime keqdashëse.
- Pajisjet interpretojnë udhëzimet si komanda nga përdoruesit e vërtetë, duke lejuar hakerët të marrin kontrollin.
- Hakerët më pas mund të përdorin altoparlantët e hakuar për të marrë në dorë pajisje të tjera inteligjente dhe madje edhe për të përgjuar përdoruesit.
Në nxitimin për të veshur shtëpitë e tyre me pajisje inteligjente, shumë përdorues injorojnë rreziqet e sigurisë që paraqesin altoparlantët inteligjentë, paralajmërojnë ekspertët e sigurisë.
Një rast i tillë është dobësia e rregulluar së fundmi në disa pajisje Amazon Echo, të cilat studiues nga Universiteti i Londrës dhe Universiteti i Katanias, Itali, ishin në gjendje ta shfrytëzonin dhe përdornin për të armatosur këta altoparlantë inteligjentë për të hakuar veten.
"Sulmi ynë, Alexa kundër Alexa (AvA), është i pari që shfrytëzon cenueshmërinë e komandave arbitrare që lëshojnë vetë në pajisjet Echo," vunë në dukje studiuesit. "Ne kemi verifikuar që, nëpërmjet AvA, sulmuesit mund të kontrollojnë pajisjet inteligjente brenda shtëpisë, të blejnë sende të padëshiruara, të ngacmojnë kalendarët e lidhur dhe të përgjojnë përdoruesin."
Zjarri miqësor
Në punimin e tyre, studiuesit demonstrojnë procesin e kompromentimit të altoparlantëve të zgjuar duke i detyruar ata të luajnë skedarë audio. Pasi të komprometohen, pajisjet mund të zgjohen dhe të fillojnë të ekzekutojnë komandat e lëshuara nga sulmuesi në distancë. Studiuesit demonstrojnë se si sulmuesit mund të ngatërrojnë aplikacionet e shkarkuara në pajisjen e hakuar, të bëjnë telefonata, të bëjnë porosi në Amazon dhe më shumë.
Kërkuesit testuan me sukses mekanizmin e sulmit në pajisjet Echo Dot të gjeneratës së tretë dhe të katërt.
Interesante, ky hak nuk varet nga folësit mashtrues, gjë që redukton më tej kompleksitetin e sulmit. Për më tepër, studiuesit vërejnë se procesi i shfrytëzimit është mjaft i thjeshtë.
AvA fillon kur pajisja Echo fillon transmetimin e një skedari audio që përmban komanda zanore që mashtrojnë altoparlantët për t'i pranuar ato si komanda të rregullta të lëshuara nga një përdorues. Edhe nëse pajisja kërkon një konfirmim dytësor për të kryer një veprim të caktuar, studiuesit sugjerojnë një komandë të thjeshtë "po" afërsisht gjashtë sekonda pasi kërkesa keqdashëse është e mjaftueshme për të zbatuar pajtueshmërinë.
Aftesi e padobishme
Kërkuesit demonstrojnë dy strategji sulmi për t'i bërë altoparlantët inteligjentë të luajnë regjistrimin keqdashës.
Në një, sulmuesit do t'i duhej një smartphone ose laptop brenda gamës së çiftimit të altoparlantëve me Bluetooth. Ndërsa ky vektor sulmi kërkon fillimisht afërsi me altoparlantët, pasi çiftohet, sulmuesit mund të lidhen me altoparlantët sipas dëshirës, gjë që u jep atyre lirinë për të kryer sulmin aktual në çdo kohë pas çiftimit fillestar.
Në sulmin e dytë, krejtësisht të largët, sulmuesit mund të përdorin një stacion radio interneti për të bërë Echo të luajë komandat me qëllim të keq. Studiuesit vërejnë se kjo metodë përfshin mashtrimin e përdoruesit të synuar për të shkarkuar një aftësi keqdashëse Alexa në Echo.
Çdokush mund të krijojë dhe publikojë një aftësi të re Alexa, e cila nuk ka nevojë për privilegje të veçanta për të ekzekutuar në një pajisje të aktivizuar nga Alexa. Megjithatë, Amazon thotë se të gjitha aftësitë e paraqitura verifikohen përpara se të shfaqen drejtpërdrejt në dyqanin e aftësive Alexa.
Todd Schell, Menaxher i Lartë i Produkteve në Ivanti, i tha Lifewire përmes emailit se strategjia e sulmit AvA i kujton atij se si hakerët do të shfrytëzonin dobësitë e WiFi kur këto pajisje u prezantuan për herë të parë, duke lëvizur nëpër lagje me një radio WiFi për të depërtuar në pa tel. pikat e hyrjes (AP) duke përdorur fjalëkalime të paracaktuara. Pas komprometimit të një AP, sulmuesit ose do të gjuanin për më shumë detaje ose thjesht do të kryenin sulme me pamje nga jashtë.
"Dallimi më i madh që shoh me këtë strategji të sulmit të fundit [AvA] është se pasi hakerët të kenë akses, ata mund të kryejnë shpejt operacione duke përdorur të dhënat personale të pronarit pa shumë punë," tha Schell.
Schell thekson se ndikimi afatgjatë i strategjisë së sulmit të ri të AvA do të varet nga sa shpejt mund të shpërndahen përditësimet, sa kohë u duhet njerëzve për të përditësuar pajisjet e tyre dhe kur produktet e përditësuara fillojnë të dërgohen nga fabrika.
Për të vlerësuar ndikimin e AvA-së në një shkallë më të gjerë, studiuesit kryen një anketë në një grup studimi prej 18 përdoruesish, i cili tregoi se shumica e kufizimeve kundër AvA, të theksuara nga studiuesit në punimin e tyre, janë përdorur me vështirësi. në praktikë.
Schell nuk është i befasuar. "Konsumatori i përditshëm nuk po mendon për të gjitha çështjet e sigurisë përpara dhe zakonisht fokusohet ekskluzivisht në funksionalitet."
