Amazon Echo ma lukę, dzięki której urządzenie wypowiada złośliwe komendy, a następnie je realizuje. Podatność odkryli naukowcy z Royal Holloway University w Londynie i Uniwersytetu w Katanii.
Badacze dali nowej formie ataku nazwę „Alexa kontra Alexa” (lub w skrócie AvA). Polega ona na tym, że napastnik przejmuje kontrolę nad głośnikiem Amazon Echo i nakazuje mu wypowiadać złośliwe instrukcje. Korzystając z AvA haker może kontrolować urządzenia Echo ofiary przy użyciu popularnej metody odtwarzania dźwięku, takiej jak stacja radiowa działająca jak serwer C&C lub sprawiająca, że Echo Dot działa jako głośnik dla pobliskiego urządzenia ze złączem Bluetooth. AvA uruchamia się, gdy urządzenie Echo łączy się z jednym z tych wektorów ataku. Cyberprzestępcy mogą za pośrednictwem asystenta głosowego Alexa zrealizować nieautoryzowane zakupy lub włączyć i wyłączyć urządzenia IoT w domu lub biurze.
Zobacz: Amazon Echo Dot 4. generacji | szybki test głośnika z Alexą
Zobacz: Kultowa gra ma się stać serialem. Sony rozmawia z Amazonem
Domyślnie urządzenia Amazon Echo zmniejszają głośność za każdym razem, gdy słyszy swoje kolejne słowa, a tym samym dłuższe polecenia są niesłyszalne. Naukowcy odkryli jednak, że mogą wysyłać komendy typu „Ustaw kuchenkę mikrofalową na 200 stopni Celsjusza”, wykorzystując podatność „FVV” (Full Volume Vulnerability). Badacze z Wielkiej Brytanii i Włoch zwracają również uwagę na tak zwany „atak maski”. Napastnik może przechwycić polecenia i przechowywać je w bazie danych. To pozwala hakerowi na wydobycie prywatnych danych, zbieranie informacji o używanych funkcjach i tym samym poznanie nawyków użytkowników.
Zresetowanie urządzenia Echo do ustawień fabrycznych jest najbezpieczniejszym sposobem na trwałe odłączenie urządzenia Echo od wektora ataku. Warto też wyciszyć mikrofon urządzenia Echo w nocy lub gdy jego właścicieli nie ma w pobliżu. Uniemożliwia to samodzielne wydanie jakiegokolwiek polecenia.
– powiedział Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce
AVA jest zagrożeniem dla urządzeń Echo Dot trzeciej i czwartej generacji. Dobrą wiadomością jest to, że aby atak się powiódł, Echo musi być wcześniej przygotowane – poprzez pobranie i uruchomienie złośliwego exploita lub atakującego znajdującego się w pobliżu inteligentnego głośnika i sparowania go z urządzeniem obsługującym technologię Bluetooth.
Chociaż nie ma dowodów na to, że ktokolwiek wykorzystał tę lukę na urządzeniach Amazon Echo w złych zamiarach, oczywistym jest, że gigant technologiczny postąpiłby mądrze, gdyby zastosował środki zaradcze – takie jak ignorowanie wszelkich poleceń, które urządzenie wypowiedziało na głos.
– dodał Mariusz Politowicz
Zobacz: Celebryci namawiają do kryptowalut lub rynku Forex? Zainwestuj, stracisz
Zobacz: Polska. Szokujące statystyki rosyjskich działań. Nawet 120 tys. dziennie
Źródło zdjęć: Telepolis
Źródło tekstu: Marken
