Les façons étranges dont votre Amazon Echo peut être piraté – et comment les arrêter
Partout où la technologie se répand, les pirates ne seront pas loin derrière, ce qui signifie que votre haut-parleur Alexa – qu'il s'agisse d'un Echo Dot ou d'un Echo Show – est déjà sur le radar des méchants.
Avec Alexa à l'écoute constante des commandes, les haut- parleurs intelligents constituent de parfaits dispositifs d'écoute – si les méchants peuvent contourner la sécurité qui leur est imposée. Cue les aboiements de l'indignation vertueuse de je-vous-ai-dis-sos partout qui savaient qu'inviter Amazon dans votre maison était une mauvaise idée.
C'était en août 2017, lorsque ce hack de haut niveau a été découvert pour la première fois. Mark Barnes de MWR Labs s'est occupé de son fer à souder, a fait ce à quoi la personne moyenne aurait du mal à penser et a réussi le genre de preuve de concept impressionnante qui pourrait être facilement affinée et vendue à ceux qui ont beaucoup moins de capacités techniques.
Des fins néfastes pourraient alors se dérouler n'importe où entre la simple écoute clandestine et le vol du compte Amazon d'un utilisateur. Trucs méchants.
La partie alarmante est que Barnes n'est pas le seul type de piratage qu'une personne pourrait effectuer pour que votre Amazon Echo fasse des choses que vous préféreriez qu'il ne fasse pas. Alors, à quel point les propriétaires d'Alexa devraient-ils être inquiets ? Eh bien, voici ce à quoi vous devez faire attention et comment éviter que cela ne vous arrive.
Voix accroupie
L'un des plus grands risques de sécurité autour d'Alexa en ce moment est les fausses compétences – également connues sous le nom de Voice Squatting. Des chercheurs de l'Université de l'Indiana ont pu enregistrer des compétences qui ressemblaient à des titulaires populaires, utilisant des accents et des erreurs de prononciation pour des installations illicites involontaires.
L'étude a créé des compétences Alexa et des actions Google qui ont aspiré de légères nuances dans les commandes des gens. Dans l'exemple, ils ont créé des compétences qui jouaient sur la compétence Capital One (une application bancaire), pour installer une fausse application pour "Alexa, démarrez Capital Won" ou "Capital One Please".
Amazon a fermé un exploit que les compétences pourraient utiliser pour brouiller l'écoute via votre haut-parleur intelligent ouvert, ce qui le transformerait efficacement en un appareil d'écoute.
Cependant, il est toujours bon de surveiller les compétences que vous avez installées via l'application Alexa. Avec certaines compétences à la recherche d'informations de paiement et offrant la possibilité de se connecter à d'autres services, et la faible barrière pour l'installation des compétences, c'est un problème qui pourrait ne pas disparaître trop rapidement.
The Barnes Hack : Transformer l'Echo en un appareil d'écoute
Barnes a fait une bonne vieille fouille à l'Echo et a découvert que vous pouviez retirer la base en caoutchouc des modèles de la première édition pour révéler certains points d'accès probablement utilisés pour les tests de bogues à l'époque.
Il a câblé un lecteur de carte SD à l'un de ces terminaux, puis a procédé à l'enracinement du mutha avec les ajouts logiciels souhaités. Pour transformer Echo en appareil d'écoute, il a accédé à son microphone toujours allumé et a dirigé tout ce qu'il entendait vers un terminal informatique distant ailleurs. Hé hop, un appareil d'écoute intelligent pour la maison.
Les petits caractères sont que le fond en caoutchouc et la connexion d'accès externe ne sont présents que sur la première édition des Echos depuis 2015 et 2016. Les modèles ultérieurs n'ont pas cette fonctionnalité.
L'écho de Barnes aurait peut-être semblé un peu suspect avec tous ces fils qui en sortent, mais il y a beaucoup de possibilités pour affiner le hack pour garder tous les morceaux invisibles.
Comment l'arrêter
Eh bien, si vous avez acheté votre Echo en 2017 ou plus tard, vous êtes automatiquement immunisé contre celui-ci.
Pour tout le monde, la solution simple est de ne laisser personne travailler sur votre Echo avec un chalumeau et une paire de pinces, pour ainsi dire.
Bien sûr, la falsification peut être effectuée avant même que vous ayez acheté la chose, alors assurez-vous d'acheter directement auprès d'Amazon.
Enfin, pour l'effet complet de la ceinture et des bretelles, appuyez sur le bouton Muet en haut de l'écho si vous dites quelque chose que vous ne voulez vraiment pas être entendu. Selon Barnes, il n'y a aucun moyen de désactiver cela avec un logiciel.
Le hack de la maison connectée: ‘Alexa, déverrouille la porte d'entrée'
Vous pouvez configurer Echo comme centre de votre réseau domestique intelligent. C'est facile à faire et nous ne le déconseillerions certainement à personne. Il convient de garder à l'esprit, cependant, qu'Alexa parlera à n'importe qui.
L'assistant virtuel d'Amazon n'est soumis à aucune contrainte d'authentification par reconnaissance vocale. Donc, en théorie, si vous mettez Echo à portée de voix du monde extérieur, un étranger se tenant près de vos fenêtres, ou de votre porte d'entrée ou de derrière, pourrait commencer à faire des demandes à Alexa. Ainsi, ils pourraient allumer et éteindre vos lumières, altérer votre chauffage ou même, éventuellement, déverrouiller vos portes.
Maintenant, voici l'énorme MAIS. Les serrures intelligentes compatibles Echo sont généralement dotées d'une deuxième couche de sécurité.
Ainsi, par exemple, August Smart Lock Pro est livré avec l'exigence que vous définissiez un code PIN à quatre chiffres que vous devez dire en même temps que la commande de déverrouillage, et cela devrait suffire à assurer la sécurité.
D'autres exigent que votre téléphone portable soit à portée Bluetooth de la serrure et le modèle Yale ne permet pas du tout le déverrouillage par Echo. Donc, à moins que quelqu'un qui se cache dans les buissons près de votre porte d'entrée écoute votre code PIN, vous êtes assez en sécurité ici.
Comment l'arrêter
Pas besoin de trop s'attarder à positionner votre Echo loin des portes et des fenêtres car, vraiment, si un cambrioleur voulait parler à votre Alexa, il le pourrait.
Il suffirait d'un bon cri dans votre boîte aux lettres. Au lieu de cela, la solution simple et rapide consiste à ne pas supprimer ce niveau de protection secondaire de votre serrure intelligente, peu importe à quel point vous pensez qu'il est plus rapide d'entrer dans votre porte d'entrée. Soit cela, soit ne connectez pas du tout votre serrure intelligente à votre Echo.
Le piratage du châssis: Loup déguisé en Alexa
Ça ressemble à un Echo, ça sonne comme un Echo mais est-ce vraiment un Echo? Il serait possible pour quelqu'un de concevoir sa propre version d'un assistant vocal avec des fins entièrement différentes et diaboliques, puis de le frapper à l'intérieur d'un shell Amazon Echo et de le vendre à un parieur sans méfiance.
Il serait assez facile d'enregistrer la voix d'Alexa en demandant à un véritable Echo de répéter des phrases pour vous, mais pourriez-vous vraiment enregistrer suffisamment de réponses pour empêcher l'utilisateur de votre ruse ?
En termes réels, il vous suffirait de maintenir le jeu assez longtemps pour récolter les détails du compte ou tout ce que vous vouliez extraire.
Si quelqu'un le voulait vraiment, bien sûr, il pourrait s'asseoir et écrire des réponses en temps réel pour la fausse Alexa à la bouche, mais c'est plus qu'un travail à temps plein. Probablement un pour l'espionnage sérieux seulement.
Comment l'arrêter
Achetez votre Echo sur Amazon.
The DolphinAttack: ‘Est-ce que Flipper vient de dire quelque chose ?'
Non, un groupe de mammifères à nez de bouteille n'est pas prêt d'envahir votre cuisine. Au lieu de cela, ce sont leurs moyens de communication ultrasoniques ignoblement intelligents qui sont singés ici.
Il s'avère qu'Alexa – et, en effet, toutes les machines qui traitent de la reconnaissance vocale ; n'importe quoi avec Siri, Google Assistant, etc. – tous peuvent entendre des choses que nous ne pouvons pas.
Ils ont été conçus pour comprendre les fréquences au-delà du ken humain, ce qui signifie que, si vous pouvez vous procurer le bon matériel, qui ne coûte que quelques dollars, au fait, vous pouvez demander à Alexa et à ses amis de faire ce que vous voulez. sans que personne n'entende.
Cela pourrait être de désarmer la sécurité de la maison intelligente, de commander toutes sortes de friandises, de téléphoner à des numéros surtaxés et Dieu sait quoi d'autre. Des trucs astucieux.
Vous pouvez remercier les génies de l'Université du Zhejiang pour celui-là.
Comment l'arrêter
Eh bien, la bonne nouvelle est que les fréquences ultrasonores ne traversent pas si bien les murs et le verre, vous devez donc être à quelques centimètres d'Echo pour que le DolphinAttack fonctionne.
De plus, Alexa répéterait ce qu'on lui disait avant d'effectuer l'opération, donc, même si quelqu'un vous a déjà laissé entrer dans la maison intelligente, ils vont probablement entendre ce que vous faites assez tôt.
Piratage laser
La logique suggère que l'utilisation du son serait le moyen évident de pirater un appareil à commande vocale mais, fin 2019, des chercheurs de l'Université d'électro-communications de Tokyo et de l'Université du Michigan ont découvert qu'ils pouvaient activer le microphone d'un haut-parleur intelligent à l'aide d'un laser.
En faisant varier l'intensité de la lumière à une fréquence particulière, ils ont découvert qu'ils pouvaient inciter le haut-parleur à le convertir en un signal électrique, ce qui signifie qu'ils avaient juste besoin d'une ligne de mire pour «parler» silencieusement à peu près n'importe quoi avec un haut-parleur. microphone – une gamme Echo, Google Home et Facebook Portal.
À l'aide de diverses « commandes d'éclairage », ils ont réussi à allumer et à éteindre les lumières connectées, à ouvrir les portes de garage et à effectuer des achats en ligne, le tout à plus de 100 mètres de distance.
Comment l'arrêter
Jusqu'à ce que quelqu'un modifie le fonctionnement des microphones, il s'agit d'une vulnérabilité qui ne disparaîtra pas, mais en attendant, il existe une solution simple: éloignez votre Echo de toutes les fenêtres pour qu'il soit plus difficile pour les méchants de lui braquer un laser.
Piratage de l'historique vocal
Celui-ci est une extension du "voice squatting" qui a été découverte par la société de cybersécurité Check Point Research en août 2020 (et a depuis été corrigée par Amazon), mais il vaut la peine de savoir ce qu'une compétence néfaste pourrait faire d'autre.
Le CPR a découvert que l'intégralité de votre historique vocal pouvait être mis à la disposition d'un pirate informatique en un seul clic sur un lien frauduleux qui installait subrepticement une compétence malveillante.
Il n'y a pas beaucoup de valeur à enregistrer des heures et des heures d'enregistrement de vos minuteries et d'allumer et d'éteindre vos lumières, mais les données pourraient potentiellement être utilisées pour tromper les systèmes de vérification vocale et même créer des deepfakes audio.
Encore une fois, il n'y a probablement pas un énorme appétit dans la communauté des hackers pour créer de fausses conversations impliquant des membres aléatoires du public, mais il est bon de savoir ce qui est possible.
Comment l'arrêter
Comme mentionné ci-dessus, Amazon a maintenant fermé cette échappatoire et il n'y avait aucune preuve qu'elle ait jamais été exploitée, mais si vous êtes préoccupé par la quantité de votre historique vocal stocké, vous pouvez tout configurer pour qu'il soit supprimé périodiquement.
Ouvrez d'abord l'application Alexa sur votre téléphone et sélectionnez le menu Plus dans le coin inférieur droit. Appuyez ensuite sur Paramètres et choisissez Alexa Privacy. Sur l'écran qui apparaît, sélectionnez Gérer vos données Alexa et vous pourrez dire à Amazon de supprimer toutes vos commandes vocales dès que votre Echo y aura répondu, de les enregistrer pendant trois mois ou de les enregistrer pendant 18 mois.
Par défaut, ils seront tous enregistrés jusqu'à ce que vous décidiez de les supprimer. Vous pouvez le faire en demandant simplement à votre Echo de supprimer tout ce que vous avez dit pendant une période définie, ou en accédant à la section Examiner l'historique vocal du menu Alexa Privacy, où vous pouvez le décomposer en périodes spécifiques et dates exactes.