Imelikud viisid, kuidas teie Amazon Echosse saab häkkida – ja kuidas neid peatada
Kuhu iganes tehnoloogia levib, ei jää häkkerid kaugele maha, mis tähendab, et teie Alexa kõlar – olgu selleks siis Echo Dot või Echo Show – on juba pahalaste radaril.
Kuna Alexa kuulab pidevalt käske, on nutikõlarid täiuslikud tõrjeseadmed – kui pahalased suudavad neile seatud turvalisusest mööda hiilida. Kuulake õiglast nördimust igal pool, kes teadsid, et Amazoni oma koju kutsumine oli halb mõte.
See oli 2017. aasta augustis, kui see kõrge profiiliga häkkimine esimest korda päevavalgele tuli. Mark Barnes MWR Labsist oli oma jootekolbiga hõivatud, tegi seda, mida tavainimene ei suudaks isegi mõelda, ja tõmbas välja muljetavaldava kontseptsiooni tõendi, mida saab hõlpsasti täiustada ja müüa edasi neile, kellel on palju vähem tehnilisi võimeid.
Pahatad otsad võivad siis kulgeda kõikjal, alates lihtsast pealtkuulamisest kuni kasutaja Amazoni konto varguseni. Kurb värk.
Murettekitav on see, et Barnes ei ole ainus häkkimine, mida inimene saab teha, et panna teie Amazon Echo tegema asju, mida te parema meelega ei teeks. Kui mures peaksid Alexa omanikud olema? Noh, siin on, mida peate jälgima ja kuidas seda teiega vältida.
Hääl kükitamine
Üks Alexa suurimaid turvariske praegu on võltsoskused – tuntud ka kui Voice Squatting. Indiana ülikooli teadlased suutsid registreerida oskusi, mis kõlasid populaarsete turgu valitsevate operaatorite moodi, kasutades aktsente ja hääldusvigu ebaseaduslike tahtmatute installatsioonide jaoks.
Uuring lõi Alexa oskused ja Google'i toimingud, mis tõid inimeste käskudes esile kergeid nüansse. Näites lõid nad oskused, mis mängisid Capital One'i oskust (pangarakendus), et installida võltsrakendus "Alexa, start Capital Won" või "Capital One Please" jaoks.
Amazon on sulgenud ärakasutamise, mida oskused saaksid kasutada avatud nutika kõlari kaudu kuulamise segamiseks, mis muudaks selle tõhusalt kuulamisseadmeks.
Siiski on endiselt hea töö jälgida Alexa rakenduse kaudu installitud oskusi. Kuna mõned oskused otsivad makseteavet ja on võimelised ühenduma teiste teenustega ning oskuste installimisel on madal takistus, on see probleem, mis ei pruugi liiga kiiresti laheneda.
The Barnes Hack: Echo muutmine häirivaks seadmeks
Barnes uuris Echos vana head ja avastas, et saate eemaldada esimese väljaande mudelite kummist aluse, et paljastada mõned pääsupunktid, mida arvatavasti kasutati omal ajal vigade testimiseks.
Ta ühendas ühte neist klemmidest SD-kaardi lugeja ja seejärel juurutas mutha soovitud tarkvaralisadega. Et muuta Echo kuulamisseadmeks, pääses ta juurde selle alati sisse lülitatud mikrofoni ja suunas kõik kuuldud kaugarvuti terminali mujale. Hei presto, nutikas kodu tõrjeseade.
Väikeses kirjas on see, et kummist põhi ja väline juurdepääsuühendus on olemas ainult 2015. ja 2016. aasta esimese väljaande Echos. Hilisematel mudelitel see funktsioon puudub.
Barnes's Echo võis tunduda pisut kahtlane, kui kõik need juhtmed sellest välja paistsid, kuid häkkimise peenhäälestamiseks on piisavalt ruumi, et kõik tükid ja tükid nähtamatud oleksid.
Kuidas seda peatada
Noh, kui ostsite oma Echo 2017. aastal või hiljem, olete selle vastu automaatselt immuunne.
Kõigi teiste jaoks on lihtne lahendus mitte lasta kellelgi nii-öelda puhuri ja tangide abil oma Echo kallal töötada.
Muidugi võib rikkumine toimuda enne, kui olete asja ostnud, nii et ostke kindlasti otse Amazonist.
Lõpuks, täieliku vöö ja trakside efekti saavutamiseks vajutage kaja ülaosas olevat vaigistusnuppu, kui ütlete midagi, mida te tõesti ei taha, et teid kuulataks. Barnesi sõnul ei saa seda tarkvara abil kuidagi keelata.
Ühendatud kodu häkkimine: "Alexa, ava välisuks"
Saate seadistada Echo oma nutika kodu massiivi keskpunktiks. Seda on lihtne teha ja kindlasti ei soovitaks me seda mitte kellelegi. Siiski tasub meeles pidada, et Alexa räägib kellegagi.
Amazoni virtuaalse assistendiga ei kaasne mingeid hääletuvastuse autentimise piiranguid. Nii et teoreetiliselt, kui asetate Echo välismaailmast kuuldeulatusse, võib teie akende või teie esi- või tagaukse lähedal seisev võõras inimene hakata Alexale taotlusi esitama. Seega võivad nad valgustid välja lülitada ja sisse lülitada, kütteseadet rikkuda või isegi uksed avada.
Nüüd on siin massiivne AGA. Echo-toega nutikatel lukkudel on tavaliselt ka teine turvakiht.
Nii on näiteks August Smart Lock Pro-ga kaasas nõue, et tuleb seadistada neljakohaline PIN-kood, mis tuleb avamiskäsuga samal ajal öelda ja sellest peaks asjade turvalisuse tagamiseks piisama.
Teised nõuavad, et teie mobiiltelefon oleks luku Bluetoothi levialas ja Yale'i mudel ei luba Echo abil üldse avada. Nii et kui keegi ei varitse teie välisukse juures põõsastes ja kuulab teie PIN-koodi, on teil siin üsna turvaline.
Kuidas seda peatada
Pole vaja oma Echo paigutamisega ustest ja akendest eemale sattuda, sest kui murdvaras tahaks teie Alexaga rääkida, saaks ta seda teha.
Piisab vaid korralikust hüüdmisest läbi teie kirjakasti. Selle asemel on lihtne kiirparandus mitte eemaldada nutikalt lukult seda teisest kaitsetaset, olenemata sellest, kui palju kiiremini teie arvates välisuksest sisse pääseda võiks. Kas nii või ärge ühendage oma nutikat lukku Echoga üldse.
Šassii häkkimine: Wolf Alexa riietes
See näeb välja nagu kaja, see kõlab nagu kaja, aga kas see on tõesti kaja? Võimalik, et kellelgi oleks võimalik kujundada oma versioon hääleassistendist, millel on täiesti erinevad ja kurjad otsad, ja seejärel see lihtsalt Amazon Echo kesta sisse lüüa ja pahaaimamatule mängijale maha müüa.
Alexa häält oleks piisavalt lihtne salvestada, paludes ehtsal kajal enda eest fraase korrata, kuid kas saaksite tõesti salvestada piisavalt vastuseid, et kasutajat teie kavalusest eemale hoida?
Tegelikkuses on teil vaja vaid piisavalt kaua mänguga kursis olla, et koguda konto üksikasju või mida iganes muud, mida soovite tõmmata.
Kui keegi tõesti tahtis, võiks ta muidugi istuda ja reaalajas vastuseid kirjutada, et võlts-Alexa saaks suhu, kuid see on rohkem kui täiskohaga töö. Tõenäoliselt ainult tõsise spionaaži jaoks.
Kuidas seda peatada
Ostke oma Echo Amazonist.
DolphinAttack: "Kas Flipper just ütles midagi?"
Ei, pudel ninaga imetajate kaun ei tungi teie kööki. Selle asemel on nende jõhkralt nutikad ultrahelisuhtlusvahendid, mis siin ahviks lähevad.
Selgub, et Alexa – ja tõepoolest kõik masinad, mis tegelevad hääletuvastusega; Siri, Google Assistandi jne abil – kõik nad kuulevad asju, mida meie ei kuule.
Need on loodud mõistma sagedusi, mis on väljaspool inimese võimet, mis tähendab, et kui saate kätte õige riistvara, mis muide maksab vaid paar dollarit, võite paluda Alexal ja sõpradel teha kõike, mida soovite. ilma et keegi kuuleks.
See võib olla nutika kodu turvalisuse desarmeerimine, kõikvõimalike maiuspalade tellimine, tasulistel numbritel helistamine ja jumal teab mis veel. Kaval värk.
Selle eest võite tänada Zhejiangi ülikooli geeniusi.
Kuidas seda peatada
Hea uudis on see, et ultraheli sagedused ei liigu nii hästi läbi seinte, klaasi ja muu sellise, nii et DolphinAttacki toimimiseks peate olema Echost mõne tolli kaugusel.
Veelgi enam, Alexa kordaks talle öeldut enne operatsiooni läbiviimist, nii et isegi kui keegi on teid juba nutikasse sisse lasknud, kuuleb ta tõenäoliselt varsti, millega te tegelete.
Laserhäkkimine
Loogika viitab sellele, et heli kasutamine oleks ilmselge viis häälkäsklusega seadmesse sissemurdmiseks, kuid 2019. aasta lõpus avastasid Tokyo elektrokommunikatsiooniülikooli ja Michigani ülikooli teadlased, et nad võivad nutikõlari mikrofoni aktiveerida. laser.
Valguse intensiivsust kindlal sagedusel muutes avastasid nad, et võivad kõnelejat petta, et see muundaks selle elektrisignaaliks, mis tähendab, et neil on vaja lihtsalt vaatevälja, et vaikselt "rääkida" peaaegu kõigega, millel on sisseehitatud seade. mikrofon – Echo, Google Home ja Facebooki portaal.
Erinevate valguskäskluste abil õnnestus neil ühendatud tuled sisse ja välja lülitada, garaažiuksi avada ja veebis oste sooritada – ja seda kõike enam kui 100 meetri kauguselt.
Kuidas seda peatada
Kuni keegi ei muuda mikrofonide tööd, on see haavatavus, mis ei kao, kuid seni on olemas lihtne lahendus: viige oma Echo kõigist akendest eemale, et pahalastel oleks raskem seda laseriga suunata.
Hääle ajaloo häkkimine
See on nn häälekükitamise laiendus, mille avastas küberjulgeolekufirma Check Point Research 2020. aasta augustis (ja Amazon on sellest ajast peale parandanud), kuid tasub olla teadlik sellest, mida veel üks alatu oskus suudab teha.
CPR leidis, et kogu teie hääleajalugu saab häkkerile kättesaadavaks teha vaid ühe klõpsuga petturlikul lingil, mis varjatult paigaldas petturliku oskuse.
Tundide ja tundide pikkusel salvestusel, kus te seadistate taimereid ja lülitate tuled sisse ja välja, pole suurt väärtust, kuid andmeid võidakse potentsiaalselt kasutada häälekinnitussüsteemide petmiseks ja isegi helide süvavõltsingute loomiseks.
Jällegi ei ole häkkerite kogukonnas ilmselt suurt isu luua võltsvestlusi, milles osalevad juhuslikud avalikkuse liikmed, kuid on hea teada, mis on võimalik.
Kuidas seda peatada
Nagu eespool mainitud, on Amazon selle lünga nüüd sulgenud ja puuduvad tõendid selle kohta, et seda oleks kunagi ära kasutatud, kuid kui tunnete muret selle pärast, kui palju teie hääleajaloost talletatakse, saate selle perioodiliselt kustutada.
Esmalt avage oma telefonis rakendus Alexa ja valige paremas alanurgas menüü Rohkem. Seejärel puudutage Settings ja valige Alexa Privacy. Ilmuval ekraanil valige Halda oma Alexa andmeid ja saate öelda Amazonile, et see kustutaks kõik teie häälkäsklused niipea, kui teie Echo on neile vastanud, salvestage need kolm kuud või salvestage need 18 kuuks.
Vaikimisi salvestatakse need kõik seni, kuni otsustate need kustutada. Seda saate teha, paludes oma Echol kustutada kõik, mida olete teatud perioodi jooksul öelnud, või minnes Alexa privaatsusmenüü jaotisesse Hääleajaloo ülevaatamine, kus saate selle jagada konkreetseteks perioodideks ja täpseteks kuupäevadeks.