Це не буде несподіванкою для тих із вас, хто закриває камери свого ноутбука плівкою, але Alexa може бути не на 100 відсотків безпечною. Цього тижня на хакерській конференції Def Con у Лас-Вегасі дослідники з китайського конгломерату Tencent Holdings розповіли, що вони змогли використати модифікований Amazon Echo для рубати в інший Echo, що працює в тій же мережі. Дослідники змогли не тільки взяти повний контроль над вторинним пристроєм, але й здійснювати безшумний запис і передавати аудіо третій стороні, по суті, перетворюючи розумний динамік на великі пристрої для підслуховування, як повідомляє Wired.
Якщо ви зараз відчуваєте хоч трохи параної, охолодіть свої літаки. Ці хакери вже повідомили Amazon про експлойт, і минулого місяця компанія випустила виправлення безпеки.
Рекомендовані відео
Дослідники У Хуйюй і Цянь Веньсян також пояснили, що, на щастя, їхня техніка передбачає набагато більше, ніж просто дистанційне зламування. По-перше, їм довелося кардинально модифікувати стандартний Echo, видаливши чіп флеш-пам’яті, змінити його прошивку, щоб отримати root-доступ, і припаяти чіп назад до друкованої плати. Звичайно, для цього потрібні невеликі інженерні знання та деякі речі з RadioShack, але це все одно не те, що ваш пересічний шпигун, швидше за все, матиме під рукою.
Пов'язані
- Amazon виплатить 30 мільйонів доларів США у зв’язку з порушенням конфіденційності Alexa та Ring
- Що означає жовтий колір кільця Amazon Echo?
- Найпоширеніші проблеми Amazon Echo Dot і способи їх вирішення
Однак, як тільки вони розмістили свій фальшивий пристрій у тій же мережі, що й інші пристрої Echo, вони могли використовувати власні протоколи зв’язку Amazon, а також деякі невідкриті Алекса недоліки інтерфейсу (перенаправлення адрес, міжсайтовий сценарій і зниження версії веб-шифрування), щоб отримати повний доступ через пристрій. Для більш банального прикладу вони могли відтворювати будь-який звук, який їм заманеться. Або вони могли безшумно записувати та передавати кожен окремий звук у кімнаті, включаючи розмови в суміжних кімнатах.
Коли ми розширюємо логіку, це означає, що шпигунське обладнання може просто замінити один розумний динамік Amazon у мережі готелю та взяти повний контроль над кожним розумним динаміком у мережі. Міцно спати.
«Після кількох місяців досліджень ми успішно зламали Amazon Echo, використовуючи численні вразливості в системі Amazon Echo, і [досягнули] дистанційного прослуховування», — заявили хакери в заява до Wired. «Коли атака [вдається], ми можемо контролювати Amazon Echo для підслуховування та надсилати голосові дані через мережу зловмиснику».
На додаток до зауваження, що недоліки інтерфейсу Alexa були виправлені, Amazon підкреслив, що цей конкретний злом вимагає від зловмисника фізичного доступу принаймні до одного пристрою.
Це лише остання в серії спроб зламати платформу безпеки розумної колонки. Минулого року британський хакер Марк Барнс вдалося встановити зловмисне програмне забезпечення на Echo через металеві контакти, доступні під гумовою основою динаміка. Охоронна фірма Checkmarx також виявив потенційно небезпечний недолік безпеки на початку цього року, коли він зламав функцію запису Alexa за допомогою зловмисного програмного забезпечення в, здавалося б, нешкідливому додатку-калькуляторі.
Рекомендації редакції
- Що таке Amazon Alexa і що вона може робити?
- Alexa проти HomeKit: яка платформа розумного будинку найкраща?
- Найпоширеніші проблеми Echo Show і способи їх вирішення
- Що робити, якщо ваш додаток Amazon Alexa не працює
- HomePod Mini проти. Echo Dot: що краще?
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
