Вот как они шпионят за вами из умной колонки Amazon
Недавно Alexa (виртуальный помощник, разработанный Amazon) стал предметом критики, так как была обнаружена уязвимость в системе безопасности.
По мнению некоторых экспертов в этой области, этот помощник мог быть взломан злоумышленниками в ходе кибератаки, известной как Alexa vs Alexa.
Таким образом, невольно наша любимая Alexa может функционировать как инструмент для недобросовестных людей, чтобы шпионить за нашими разговорами, нашим поиском в Интернете и даже выполнять действия от нашего имени, такие как онлайн-покупки.
Сегодня мы объясним вам, как хакеры проводят атаку Alexa vs Alexa, какие последствия она может иметь для пользователей этого помощника и что по этому поводу говорит Amazon.
Как работает атака Alexa vs Alexa (AvA)?
Alexa встроена в умные колонки, такие как Amazon Echo. Теоретически этот виртуальный помощник будет активирован только в том случае, если вы вызовете его с помощью голосовых команд.
Но есть довольно простой трюк, который хакеры используют, чтобы дать Алексе инструкции и заставить ее следовать им…
Что происходит, так это то, что когда какой-либо звук, содержащий голосовую команду, воспроизводится с того же интеллектуального динамика, Alexa воспринимает его как законный и дает ответ.
Основная цель хакеров — ваш умный динамик
Зная об этой уязвимости безопасности Alexa, цель хакеров — получить доступ к вашему умному динамику для удаленного воспроизведения аудио, содержащего голосовые команды для управления Alexa.
Как они могут получить доступ к вашему динамику? На данный момент известно, что взлом может быть осуществлен двумя способами:
- Через вредоносную ссылку, отправленную вам каким-либо образом. Когда вы открываете его, они могут получить доступ к динамику Amazon Echo.
- Подключение к вашему Amazon Echo с помощью соединения Bluetooth (для этого хакер должен быть физически близко к динамику).
Злоумышленники создают вредоносный навык для кражи ваших голосовых команд
По умолчанию в Alexa добавлены некоторые навыки. В его магазине Навыков вы можете добавить больше Навыков, которые посчитаете полезными… Но, кроме того, вы можете создать свой собственный Навык.
Для этой атаки хакеры используют эту функцию, чтобы создать для Alexa вредоносный навык, который называется «Атака по маске».
Как только они получают доступ к Alexa с помощью голосовых команд, выдаваемых самим динамиком Amazon Echo, они добавляют к нему этот новый навык.
По сути, они записывают голосовые команды, когда вы разговариваете с Alexa, чтобы украсть их и иметь возможность воспроизводить их, когда вас нет, и управлять Alexa, как если бы они были вами.
Хуже всего то, что вы этого не осознаете, потому что, пока хакеры ничего не изменят, Alexa будет нормально реагировать на команды, которые вы отправляете своим голосом.
Но без вашего ведома каждая ваша команда пассивно перехватывается и крадет.
Когда будет украдено достаточное количество голосовых команд, действие начнется
Как только они узнают все ваши голосовые команды и то, как говорить Alexa, они начинают это делать.
Они удаленно воспроизводят через динамики все украденные голосовые команды, чтобы управлять Alexa по своему желанию.
И, управляя Alexa, они контролируют все устройства и приложения, которые синхронизируются с этим помощником.
Они даже могут изменять ответы на определенные голосовые команды.
В скрытое видео на ютубе Мы можем видеть, как для демонстрации хака перехватывается команда «сколько будет 10+11» и модифицируется ответ так, что Alexa отвечает «10+11=77».
Точно так же, как был изменен ответ на эту команду, другие ответы на вопросы, которые вы задаете Alexa, могут быть изменены.
Упомянем только один пример: когда вы спрашиваете, есть ли пробки, я могу ответить «нет», когда они действительно есть, и вы потеряете часы в пробке.
Какие действия мог выполнить хакер с атакой Alexa vs Alexa?
Выполняя эту атаку, хакеры получают контроль над абсолютно всем, что вы сейчас контролируете с помощью Alexa.
Это может включать в себя музыку, которую вы слушаете, температуру вашего отопления, покупки продуктов или даже то, открыта или закрыта ваша входная дверь.
Вот несколько примеров действий, которые хакеры могут предпринять благодаря атаке Alexa vs Alexa…
- Выполните любое действие на смарт-устройствах, связанных с Alexa:
Если Alexa поможет вам управлять некоторыми интеллектуальными приборами в вашем доме, эти мошенники могут заставить их работать неправильно.
Например, они могут включить отопление на полную мощность в жаркий день или включить кондиционер на полную мощность в холодный день, просто чтобы немного напугать вас.
- Изменить будильники, даты календаря, среди прочего:
Если в вашем календаре установлены будильники или напоминания, чтобы вы не забывали о важных датах, рабочих встречах или других событиях, они могут изменить все и полностью дезорганизовать вас, из-за чего вы пропустите важные встречи и многое другое.
- Следите за вашими разговорами:
Они могут оставить микрофон говорящего открытым, чтобы слушать то, что вы говорите, в течение неопределенного времени.
- Совершайте покупки на Amazon:
Злоумышленник может даже покупать товары на Amazon, как если бы они были заказаны вами.
Ответ Amazon: устранена ли проблема с уязвимостью AvA?
Учитывая сложность данной уязвимости в продуктах Amazon, логично задаться вопросом, что же сказал по этому поводу ее производитель.
Прежде всего, отдайте должное исследователям, обнаружившим атаку AvA; это Серхио Эспозито, Даниэле Сгандурра и Джампаоло Белла.
Согласно порталу adslzone, Amazon заявила, что эта уязвимость устранена. Компания утверждает, что автоматическая удаленная активация Alexa больше невозможна.
Кроме того, они сообщили, что создали систему, которая отслеживает все созданные навыки в режиме реального времени, чтобы обнаруживать любые, которые могут быть вредными.
Наконец, они закрыли свое заявление, заявив, что продолжат работу над повышением безопасности всех пользователей Amazon Echo и Alexa.
Как вы думаете? Доверяете ли вы Amazon защитить вас от уязвимостей такого типа в вашем виртуальном помощнике? Оставьте нам свой ответ в комментариях…
