Mga Key Takeaway
- Nagawa ng mga mananaliksik na linlangin ang ilang Echo smart speaker sa paglalaro ng mga audio file na may kasamang malisyosong mga tagubilin.
- Ang mga device ay binibigyang kahulugan ang mga tagubilin bilang mga utos mula sa mga totoong user, na nagbibigay-daan sa mga hacker na kontrolin.
- Maaaring gamitin ng mga hacker ang mga na-hack na speaker para sakupin ang iba pang mga smart device at kahit na mag-eavesdrop sa mga user.
Sa pagmamadali sa linya ng kanilang mga tahanan gamit ang mga smart device, maraming user ang hindi binabalewala ang mga panganib sa seguridad na dulot ng mga smart speaker, nagbabala sa mga eksperto sa seguridad.
Ang isang halimbawa ay ang kamakailang na-patch na kahinaan sa ilang mga Amazon Echo device, na nagawang pagsamantalahan at paggamit ng mga mananaliksik mula sa University of London at University of Catania, Italy upang armasan ang mga smart speaker na ito para i-hack ang kanilang mga sarili.
"Ang aming pag-atake, Alexa versus Alexa (AvA), ay ang unang nagsasamantala sa kahinaan ng mga self-issuing na arbitrary na command sa mga Echo device, " sabi ng mga mananaliksik. "Na-verify namin na, sa pamamagitan ng AvA, makokontrol ng mga attacker ang mga smart appliances sa loob ng sambahayan, bumili ng mga hindi gustong item, pakialaman ang mga naka-link na kalendaryo at mag-eavesdrop sa user."
Friendly Fire
Sa kanilang papel, ipinakita ng mga mananaliksik ang proseso ng pagkompromiso sa mga smart speaker sa pamamagitan ng pagpapatugtog sa kanila ng mga audio file. Kapag nakompromiso, maaaring magising ang mga device at magsimulang magsagawa ng mga utos na ibinigay ng malayuang umaatake. Ipinakita ng mga mananaliksik kung paano maaaring pakialaman ng mga umaatake ang mga application na na-download sa na-hack na device, tumawag sa telepono, mag-order sa Amazon, at higit pa.
Matagumpay na nasubok ng mga mananaliksik ang mekanismo ng pag-atake sa parehong pangatlo at ikaapat na henerasyong Echo Dot na mga device.
Nakakatuwa, hindi nakadepende ang hack na ito sa mga rogue speaker, na higit na nagpapababa sa pagiging kumplikado ng pag-atake. Bukod dito, napapansin ng mga mananaliksik na ang proseso ng pagsasamantala ay medyo simple.
Ang AvA ay magsisimula kapag ang Echo device ay nagsimulang mag-stream ng audio file na naglalaman ng mga voice command na nanlinlang sa mga speaker sa pagtanggap sa kanila bilang mga regular na command na ibinibigay ng isang user. Kahit na humingi ang device ng pangalawang kumpirmasyon para magsagawa ng partikular na pagkilos, iminumungkahi ng mga mananaliksik ang isang simpleng "oo" na utos humigit-kumulang anim na segundo pagkatapos ng nakakahamak na kahilingan ay sapat na upang ipatupad ang pagsunod.
Walang Kapaki-pakinabang na Kasanayan
Nagpakita ang mga mananaliksik ng dalawang diskarte sa pag-atake para mapatugtog ng mga matatalinong speaker ang nakakahamak na recording.
Sa isa, ang umaatake ay mangangailangan ng isang smartphone o laptop sa loob ng saklaw ng pagpapares ng Bluetooth ng mga speaker. Bagama't ang attack vector na ito ay nangangailangan ng kalapitan sa mga speaker sa simula, kapag naipares na, ang mga attacker ay maaaring kumonekta sa mga speaker sa kalooban, na nagbibigay sa kanila ng kalayaang magsagawa ng aktwal na pag-atake anumang oras pagkatapos ng unang pagpapares.
Sa pangalawa, ganap na malayong pag-atake, maaaring gumamit ang mga umaatake ng istasyon ng radyo sa internet para ipatugtog ang Echo ang mga nakakahamak na utos. Napansin ng mga mananaliksik na ang pamamaraang ito ay kinabibilangan ng panlilinlang sa naka-target na user sa pag-download ng nakakahamak na kasanayan sa Alexa sa Echo.
Sinuman ay maaaring gumawa at mag-publish ng bagong Alexa skill, na hindi nangangailangan ng mga espesyal na pribilehiyo para gumana sa isang Alexa-enabled na device. Gayunpaman, sinabi ng Amazon na lahat ng isinumiteng kasanayan ay sinusuri bago mag-live sa Alexa skills store.
Sinabi ni Todd Schell, Senior Product Manager sa Ivanti, sa Lifewire sa pamamagitan ng email na ang diskarte sa pag-atake ng AvA ay nagpapaalala sa kanya kung paano sasamantalahin ng mga hacker ang mga kahinaan sa WiFi noong unang ipinakilala ang mga device na ito, na nagmamaneho sa paligid ng mga kapitbahayan gamit ang WiFi radio para makapasok sa wireless. access point (AP) gamit ang mga default na password. Pagkatapos ikompromiso ang isang AP, ang mga umaatake ay maaaring manghuli para sa higit pang mga detalye o magsasagawa lamang ng mga panlabas na pag-atake.
"Ang pinakamalaking pagkakaiba na nakikita ko sa pinakabagong diskarte sa pag-atake ng [AvA] na ito ay na pagkatapos makakuha ng access ang mga hacker, mabilis silang makakapagsagawa ng mga operasyon gamit ang personal na impormasyon ng may-ari nang walang gaanong trabaho," sabi ni Schell.
Itinuturo ni Schell na ang pangmatagalang epekto ng nobelang diskarte sa pag-atake ng AvA ay depende sa kung gaano kabilis maipamahagi ang mga update, kung gaano katagal ang mga tao upang i-update ang kanilang mga device, at kung kailan nagsimulang ipadala ang mga na-update na produkto mula sa pabrika.
Upang masuri ang epekto ng AvA sa mas malaking sukat, nagsagawa ang mga mananaliksik ng isang survey sa isang grupo ng pag-aaral ng 18 user, na nagpakita na ang karamihan sa mga limitasyon laban sa AvA, na itinampok ng mga mananaliksik sa kanilang papel, ay halos hindi ginagamit sa pagsasanay.
Hindi nagulat si Schell. "Ang pang-araw-araw na mamimili ay hindi nag-iisip tungkol sa lahat ng mga isyu sa seguridad sa harap at kadalasang nakatuon lamang sa functionality."
