Útočníci mohou přimět reproduktory Echo, aby se sami hackovali

Obsah:

Útočníci mohou přimět reproduktory Echo, aby se sami hackovali
Útočníci mohou přimět reproduktory Echo, aby se sami hackovali
Anonim

Klíčové poznatky

  • Výzkumníkům se podařilo oklamat některé chytré reproduktory Echo, aby přehrávaly zvukové soubory protkané škodlivými pokyny.
  • Zařízení interpretují pokyny jako příkazy od skutečných uživatelů a umožňují hackerům převzít kontrolu.
  • Hackeři pak mohou pomocí napadených reproduktorů převzít další chytrá zařízení a dokonce odposlouchávat uživatele.
Image
Image

Ve spěchu vybavit své domovy chytrými zařízeními mnoho uživatelů ignoruje bezpečnostní rizika, která představují chytré reproduktory, varují bezpečnostní experti.

Příkladem je nedávno opravená zranitelnost v některých zařízeních Amazon Echo, kterou vědci z University of London a University of Catania v Itálii dokázali využít a použít k vyzbrojení těchto chytrých reproduktorů, aby se sami nabourali.

„Náš útok, Alexa versus Alexa (AvA), je první, který využívá zranitelnost samovolného vydávání libovolných příkazů na zařízeních Echo,“poznamenali výzkumníci. "Ověřili jsme, že prostřednictvím AvA mohou útočníci ovládat chytré spotřebiče v domácnosti, kupovat nechtěné předměty, manipulovat s propojenými kalendáři a odposlouchávat uživatele."

Friendly Fire

Ve své práci výzkumníci demonstrují proces kompromitace chytrých reproduktorů tím, že je přimějí přehrávat zvukové soubory. Jakmile jsou zařízení kompromitována, mohla by se sama probudit a začít provádět příkazy vydané vzdáleným útočníkem. Výzkumníci demonstrují, jak by útočníci mohli manipulovat s aplikacemi staženými do napadeného zařízení, telefonovat, zadávat objednávky na Amazonu a další.

Výzkumníci úspěšně otestovali mechanismus útoku na zařízeních Echo Dot třetí i čtvrté generace.

Zajímavé je, že tento hack nezávisí na nečestných mluvčích, což dále snižuje složitost útoku. Kromě toho vědci poznamenávají, že proces využívání je poměrně jednoduchý.

AvA se spustí, když zařízení Echo začne streamovat zvukový soubor, který obsahuje hlasové příkazy, které oklamou reproduktory, aby je přijali jako běžné příkazy vydané uživatelem. I když zařízení požádá o sekundární potvrzení k provedení konkrétní akce, výzkumníci navrhnou jednoduchý příkaz „ano“přibližně šest sekund po škodlivém požadavku, který stačí k vynucení souladu.

Zbytečná dovednost

Výzkumníci demonstrují dvě strategie útoku, jak přimět chytré reproduktory, aby přehrály škodlivou nahrávku.

V jednom by útočník potřeboval chytrý telefon nebo notebook v dosahu párování reproduktorů přes Bluetooth. I když tento vektor útoku zpočátku vyžaduje blízkost k reproduktorům, po spárování se útočníci mohou k reproduktorům libovolně připojit, což jim dává svobodu provést skutečný útok kdykoli po počátečním spárování.

V druhém, zcela vzdáleném útoku mohou útočníci použít internetovou rozhlasovou stanici k tomu, aby Echo přehrálo škodlivé příkazy. Výzkumníci poznamenávají, že tato metoda zahrnuje oklamání cílového uživatele, aby si stáhl škodlivou dovednost Alexa do Echo.

Kdokoli může vytvořit a publikovat novou dovednost Alexa, která ke spuštění na zařízení s podporou Alexa nepotřebuje zvláštní oprávnění. Amazon však říká, že všechny odeslané dovednosti jsou před zveřejněním v obchodě dovedností Alexa prověřeny.

Image
Image

Todd Schell, hlavní produktový manažer ve společnosti Ivanti, řekl Lifewire e-mailem, že strategie útoku AvA mu připomíná, jak hackeři zneužívali zranitelnosti WiFi, když byla tato zařízení poprvé uvedena, a jezdili po čtvrtích s WiFi rádiem, aby se dostali do bezdrátové sítě přístupové body (AP) používající výchozí hesla. Po kompromitaci AP by útočníci buď hledali další podrobnosti, nebo by prostě provedli útoky směřující ven.

„Největší rozdíl, který vidím u této nejnovější strategie útoku [AvA], je v tom, že poté, co hackeři získají přístup, mohou rychle provádět operace pomocí osobních údajů vlastníka bez velké práce,“řekl Schell.

Schell zdůrazňuje, že dlouhodobý dopad nové útočné strategie AvA bude záviset na tom, jak rychle mohou být aktualizace distribuovány, jak dlouho lidem trvá aktualizace jejich zařízení a kdy se aktualizované produkty začnou dodávat z továrny.

Pro posouzení dopadu AvA ve větším měřítku provedli vědci průzkum na studijní skupině 18 uživatelů, který ukázal, že většina omezení proti AvA, zdůrazněných výzkumníky ve své práci, se téměř nepoužívá. v praxi.

Schell není překvapen. "Každodenní spotřebitel nepřemýšlí o všech bezpečnostních otázkách předem a obvykle se zaměřuje výhradně na funkčnost."

Doporučuje:

Jak připojit reproduktory pomocí kabelu pro reproduktory

Jak připojit reproduktory pomocí kabelu pro reproduktory

Naučte se, jak správně zapojit reproduktory k přijímači nebo zesilovači pomocí pružinových svorek nebo spojovacích kolíků s holými, kolíkovými, rýhovanými nebo banánkovými konektory

Nové technologie by mohly přimět stroje, aby myslely více jako lidé

Nové technologie by mohly přimět stroje, aby myslely více jako lidé

Nové, tisknutelné obvody založené na teorii spinového skla by mohly zlepšit způsob myšlení umělé inteligence a pomoci jí rozpoznat i částečné obrázky na základě známosti, jako to dělá lidský mozek

Jak přimět slovo, aby vám četlo

Jak přimět slovo, aby vám četlo

Word si můžete nechat číst pomocí novější funkce Číst nahlas nebo starší funkce Mluvit, podle toho, jakou verzi Wordu máte

Jak přimět Alexu, aby řekla, co chcete

Jak přimět Alexu, aby řekla, co chcete

Existuje dovednost přimět Alexu, aby řekla, co chcete, nebo použila příkaz „Simon říká“. Přečtěte si, co dělat, když Alexa neřekne vlastní odpověď

Jak přimět vesničany, aby se vystěhovali v Animal Crossing: New Horizons

Jak přimět vesničany, aby se vystěhovali v Animal Crossing: New Horizons

Přimět vesničany k vystěhování ve hře 'Animal Crossing: New Horizons' je pomalý proces, ale můžete je ignorovat nebo pozvat ostatní, aby zaujali jejich místo