Негізгі ұсыныстар
- Зерттеушілер кейбір Echo смарт динамиктерін алдап зиянды нұсқаулары бар аудио файлдарды ойнатуға мүмкіндік алды.
- Құрылғылар нұсқауларды нақты пайдаланушылардың пәрмендері ретінде түсіндіреді, бұл хакерлерге бақылауды алуға мүмкіндік береді.
- Содан кейін хакерлер бұзылған динамиктерді басқа смарт құрылғыларды басып алу және тіпті пайдаланушыларды тыңдау үшін пайдалана алады.
Үйлерін смарт құрылғылармен жабдықтауға асыққанда, көптеген пайдаланушылар смарт динамиктерден туындайтын қауіпсіздік қауіптерін елемейді, қауіпсіздік мамандарына ескертеді.
Бір мысал ретінде Лондон университеті мен Катания университетінің (Италия) зерттеушілері осы смарт динамиктерді өздерін бұзу үшін қаруландыру үшін пайдаланған және пайдаланған кейбір Amazon Echo құрылғыларындағы жақында патчталған осалдық болып табылады.
«Біздің Alexa қарсы Alexa (AvA) шабуылымыз Echo құрылғыларында өздігінен шығарылатын ерікті пәрмендердің осалдығын бірінші болып пайдаланды», - деп атап өтті зерттеушілер. "Біз AvA арқылы шабуылдаушылар үйдегі смарт құрылғыларды басқара алатынын, қажетсіз заттарды сатып алатынын, байланыстырылған күнтізбелерді өзгерте алатынын және пайдаланушыны тыңдай алатынын растадық."
Достық оты
Өз мақаласында зерттеушілер смарт динамиктерді дыбыстық файлдарды ойнатуға тарту арқылы оларды бұзу процесін көрсетеді. Бұзылғаннан кейін құрылғылар өздері оянып, қашықтағы шабуылдаушы берген пәрмендерді орындауға кірісуі мүмкін. Зерттеушілер шабуылдаушылар бұзылған құрылғыға жүктелген қолданбаларды қалай бұрмалай алатынын, телефон қоңырауларын шала алатынын, Amazon-да тапсырыстар жасай алатынын және т.б. көрсетеді.
Зерттеушілер шабуыл механизмін үшінші және төртінші буындағы Echo Dot құрылғыларында сәтті сынады.
Бір қызығы, бұл бұзу шабуылдың күрделілігін одан әрі төмендететін жалған динамиктерге тәуелді емес. Сонымен қатар, зерттеушілер пайдалану процесі өте қарапайым екенін атап өтті.
AvA Echo құрылғысы динамиктерді пайдаланушы шығарған кәдімгі пәрмендер ретінде қабылдауға алдап соқтыратын дауыс пәрмендері бар аудио файлды ағынмен жібере бастағанда басталады. Құрылғы белгілі бір әрекетті орындау үшін қосымша растауды сұраса да, зерттеушілер зиянды сұрау сәйкестікті қамтамасыз ету үшін жеткілікті болғаннан кейін шамамен алты секундтан кейін қарапайым «иә» пәрменін ұсынады.
Пайдасыз дағды
Зерттеушілер смарт динамиктерге зиянды жазбаны ойнату үшін шабуылдың екі стратегиясын көрсетеді.
Бірінде шабуылдаушыға динамиктердің Bluetooth жұптастыру ауқымында смартфон немесе ноутбук қажет болады. Бұл шабуыл векторы бастапқыда динамиктерге жақын болуды талап етеді, бірақ жұптастырылғаннан кейін, шабуылдаушылар динамиктерге қалауы бойынша қосыла алады, бұл оларға бастапқы жұптастырудан кейін кез келген уақытта нақты шабуылды жүргізуге еркіндік береді.
Екінші, толығымен қашықтан жасалған шабуылда, шабуылдаушылар зиянды пәрмендерді ойнату үшін жаңғырық алу үшін интернет радиостанциясын пайдалана алады. Зерттеушілер бұл әдіс мақсатты пайдаланушыны Echo жүйесіне зиянды Alexa дағдысын жүктеп алу үшін алдауды білдіреді деп атап өтті.
Кез келген адам Alexa қосылған құрылғыда жұмыс істеу үшін арнайы артықшылықтарды қажет етпейтін жаңа Alexa дағдысын жасап, жариялай алады. Дегенмен, Amazon барлық жіберілген дағдылар Alexa дағдылар дүкенінде тікелей эфирге шықпас бұрын тексерілгенін айтады.
Тодд Шелл, Ivanti компаниясының аға өнім менеджері Lifewire-ке электрондық пошта арқылы AvA шабуыл стратегиясы хакерлердің бұл құрылғылар алғаш рет енгізілген кезде WiFi осалдықтарын қалай пайдаланатынын және сымсыз байланысқа кіру үшін WiFi радиосы арқылы маңайларды аралайтынын еске түсіретінін айтты. әдепкі құпия сөздерді пайдаланып кіру нүктелері (AP). Қауіпсіздік орталығына қауіп төнгеннен кейін, шабуылдаушылар егжей-тегжейлі ақпаратты іздейді немесе тек сыртқа бағытталған шабуылдар жасайды.
"Мен осы соңғы [AvA] шабуыл стратегиясынан көріп отырған ең үлкен айырмашылық - хакерлер рұқсат алғаннан кейін олар көп жұмыс жасамай-ақ иесінің жеке ақпаратын пайдаланып операцияларды жылдам жүргізе алады", - деді Шелл.
Schell AvA шабуылының жаңа стратегиясының ұзақ мерзімді әсері жаңартулардың қаншалықты жылдам таралатынына, адамдардың құрылғыларын жаңартуға қанша уақыт кететініне және жаңартылған өнімдер зауыттан қашан жеткізіле бастағанына байланысты болатынын атап көрсетеді.
AvA әсерін кеңірек бағалау үшін зерттеушілер 18 пайдаланушыдан тұратын зерттеу тобына сауалнама жүргізді, бұл зерттеушілер өз мақалаларында атап көрсеткен AvA-ға қарсы шектеулердің көпшілігі әрең қолданылмайтынын көрсетті. тәжірибеде.
Шелл таң қалмады. "Күнделікті тұтынушы барлық қауіпсіздік мәселелерін алдын ала ойламайды және әдетте тек функционалдылыққа назар аударады."
