Gli strani modi in cui il tuo Amazon Echo può essere violato e come fermarli
Ovunque la tecnologia pervada, gli hacker non saranno molto indietro, il che significa che il tuo altoparlante Alexa, sia esso un Echo Dot o un Echo Show, è già sul radar dei cattivi.
Con Alexa che ascolta costantemente i comandi, gli altoparlanti intelligenti sono perfetti dispositivi di intercettazione, se i malintenzionati possono aggirare la sicurezza posta su di loro. Indica le latrati della giusta indignazione da parte di te l'avevo detto ovunque che sapevano che invitare Amazon a casa tua era una cattiva idea.
Era l'agosto 2017 quando questo hack di alto profilo venne alla luce per la prima volta. Mark Barnes di MWR Labs si è dato da fare con il suo saldatore, ha fatto ciò a cui la persona media avrebbe faticato persino a pensare e ha tirato fuori il tipo di impressionante prova di concetto che potrebbe essere facilmente perfezionata e venduta a coloro con capacità tecniche molto inferiori.
I fini nefasti potrebbero quindi correre ovunque tra semplici intercettazioni al furto dell'account Amazon di un utente. Roba brutta.
La parte allarmante è che Barnes's non è l'unico tipo di hack che una persona potrebbe eseguire per far fare al tuo Amazon Echo cose che preferiresti non facesse. Quindi quanto dovrebbero essere preoccupati i proprietari di un Alexa? Bene, ecco a cosa devi stare attento e come evitare che accada a te.
Voce accovacciata
Uno dei maggiori rischi per la sicurezza di Alexa in questo momento sono le abilità false, note anche come Voice Squatting. I ricercatori dell'Università dell'Indiana sono stati in grado di registrare abilità che suonavano come incumbent popolari, usando accenti e pronunce errate per installazioni inconsapevoli illecite.
Lo studio ha creato le abilità di Alexa e le azioni di Google che hanno raccolto lievi sfumature nei comandi delle persone. Nell'esempio hanno creato abilità che giocavano sull'abilità Capital One (un'app bancaria), per installare un'app fasulla per "Alexa, avvia Capital Won" o "Capital One Please".
Amazon ha chiuso un exploit che le abilità potrebbero utilizzare per bloccare l'ascolto tramite il tuo altoparlante intelligente aperto, che lo trasformerebbe effettivamente in un dispositivo di ascolto.
Tuttavia, è comunque un buon lavoro monitorare le competenze che hai installato tramite l'app Alexa. Con alcune competenze che cercano informazioni sui pagamenti e vantano la capacità di collegarsi ad altri servizi e la bassa barriera per l'installazione di competenze, questo è un problema che potrebbe non risolversi troppo rapidamente.
The Barnes Hack: trasformare l'eco in un dispositivo di intercettazione
Barnes ha avuto un buon vecchio scavo all'Echo e ha scoperto che si poteva rimuovere la base in gomma dei modelli della prima edizione per rivelare alcuni punti di accesso presumibilmente utilizzati per il test dei bug nel corso della giornata.
Ha collegato un lettore di schede SD a uno di questi terminali e poi ha proceduto al rooting del mutha con qualsiasi aggiunta software desiderata. Per trasformare Echo in un dispositivo di ascolto, ha avuto accesso al suo microfono sempre attivo e ha indirizzato tutto ciò che sentiva a un terminale di computer remoto altrove. Ehi presto, un dispositivo intelligente per intercettare la casa.
La piccola stampa è che il fondo in gomma e la connessione di accesso esterno sono presenti solo sulla prima edizione di Echos dal lontano 2015 e 2016. I modelli successivi non hanno questa caratteristica.
Barnes's Echo potrebbe sembrare un po' sospetto con tutti quei fili che ne sporgono, ma c'è molto spazio per mettere a punto l'hack per mantenere tutti i pezzi invisibili.
Come fermarlo
Bene, se hai acquistato il tuo Echo nel 2017 o successivamente, sei automaticamente immune a questo.
Per tutti gli altri, beh, la soluzione semplice è non lasciare che nessuno si metta a lavorare sul tuo Echo con una fiamma ossidrica e un paio di pinze, per così dire.
Naturalmente, la manomissione potrebbe essere eseguita prima ancora che tu abbia acquistato la cosa, quindi assicurati di acquistare direttamente da Amazon.
Infine, per l'effetto completo di cintura e bretelle, premi il pulsante Mute sopra l'eco se stai dicendo qualcosa che davvero non vuoi che sia ascoltato. Secondo Barnes, non c'è modo di disabilitarlo con il software.
L'hacking domestico connesso: "Alexa, apri la porta d'ingresso"
Puoi impostare Echo come centro del tuo array di casa intelligente. È facile da fare e di certo non lo sconsiglieremmo a nessuno. Vale la pena ricordare, tuttavia, che Alexa parlerà con chiunque.
L'assistente virtuale di Amazon non ha alcun tipo di vincolo di autenticazione del riconoscimento vocale. Quindi, in teoria, se metti Echo a portata d'orecchio del mondo esterno, allora uno sconosciuto in piedi vicino alle tue finestre, o alla tua porta d'ingresso o sul retro, potrebbe iniziare a fare richieste ad Alexa. Quindi, potrebbero spegnere e riaccendere le luci, manomettere il riscaldamento o, eventualmente, anche sbloccare le porte.
Ora, ecco il massiccio MA. Le serrature intelligenti abilitate per Echo di solito sono dotate di un secondo livello di sicurezza.
Quindi, ad esempio, August Smart Lock Pro viene fornito con il requisito di impostare un PIN di quattro cifre che devi pronunciare contemporaneamente al comando di sblocco e che dovrebbe essere sufficiente per mantenere le cose al sicuro.
Altri richiedono che il tuo telefono cellulare si trovi nel raggio del Bluetooth della serratura e il modello Yale non consente affatto lo sblocco tramite Echo. Quindi, a meno di qualcuno in agguato tra i cespugli vicino alla tua porta di casa che ascolta il tuo PIN, sei abbastanza al sicuro qui.
Come fermarlo
Non c'è bisogno di essere troppo coinvolti nel posizionare il tuo Echo lontano da porte e finestre perché, davvero, se un ladro volesse parlare con il tuo Alexa, potrebbe farlo.
Basterebbe solo un bel grido nella cassetta delle lettere. Invece, la semplice soluzione rapida è non rimuovere quel livello secondario di protezione dalla tua serratura intelligente, non importa quanto pensi che possa essere più veloce entrare nella tua porta di casa. O quello o non collegare affatto il tuo smart lock al tuo Echo.
L'hacking del telaio: Lupo nei panni di Alexa
Sembra un Echo, suona come un Echo ma è davvero un Echo? Sarebbe possibile per qualcuno progettare la propria versione di un assistente vocale con fini completamente diversi e malvagi e poi semplicemente inserirlo in un guscio Amazon Echo e venderlo a uno scommettitore ignaro.
Sarebbe abbastanza facile registrare la voce di Alexa chiedendo a un vero Echo di ripetere le frasi per te, ma potresti davvero registrare abbastanza risposte per tenere l'utente lontano dal tuo stratagemma?
In termini reali, dovresti solo mantenere il gioco abbastanza a lungo da raccogliere i dettagli dell'account o qualsiasi altra cosa tu voglia estrarre.
Se qualcuno lo volesse davvero, ovviamente, potrebbe sedersi e scrivere risposte in tempo reale per la falsa Alexa da mettere in bocca, ma è più di un lavoro a tempo pieno. Probabilmente solo per spionaggio serio.
Come fermarlo
Acquista il tuo Echo da Amazon.
The DolphinAttack: "Flipper ha appena detto qualcosa?"
No, un branco di mammiferi dal naso a bottiglia non sta per invadere la tua cucina. Invece, è il loro mezzo di comunicazione ultrasonico vile e intelligente che viene imitato qui.
Si scopre che Alexa – e, in effetti, tutte le macchine che si occupano di riconoscimento vocale; qualsiasi cosa con Siri, l' Assistente Google e così via: tutti possono sentire cose che noi non possiamo.
Sono stati progettati per comprendere le frequenze al di là della comprensione umana, il che significa che, se riesci a procurarti l'hardware giusto, che costa solo un paio di dollari, tra l'altro, puoi chiedere ad Alexa e ai tuoi amici di fare quello che vuoi senza che nessuno ascolti.
Ciò potrebbe disarmare la sicurezza domestica intelligente, ordinare ogni sorta di chicche, telefonare a numeri a tariffa maggiorata e chissà cos'altro. Roba intelligente.
Puoi ringraziare i geni dell'Università di Zhejiang per quello.
Come fermarlo
Bene, la buona notizia è che le frequenze ultrasoniche non viaggiano così bene attraverso pareti e vetri e simili, quindi dovresti trovarti a pochi centimetri da Echo affinché DolphinAttack funzioni.
Inoltre, Alexa ripeterebbe ciò che le è stato detto prima di eseguire l'operazione, quindi, anche se qualcuno ti ha già fatto entrare nella casa intelligente, probabilmente sentiranno cosa stai facendo abbastanza presto.
Hack laser
La logica suggerisce che l'uso del suono sarebbe il modo più ovvio per hackerare un dispositivo ad attivazione vocale ma, alla fine del 2019, i ricercatori dell'Università di Electro-Communications di Tokyo e dell'Università del Michigan hanno scoperto che potevano attivare il microfono di un altoparlante intelligente utilizzando un laser.
Variando l'intensità della luce a una particolare frequenza, hanno scoperto di poter indurre l'altoparlante a convertirlo in un segnale elettrico, il che significa che avevano solo bisogno di una linea di vista per "parlare" silenziosamente praticamente a qualsiasi cosa con un built-in microfono: una gamma Echo, Google Home e Portal di Facebook.
Utilizzando vari "comandi luce" sono riusciti ad accendere e spegnere le luci connesse, aprire le porte del garage e fare acquisti online, e tutto da oltre 100 metri di distanza.
Come fermarlo
Fino a quando qualcuno non cambierà il modo in cui funzionano i microfoni, questa è una vulnerabilità che non scomparirà, ma nel frattempo c'è una soluzione semplice: allontana il tuo Echo da qualsiasi finestra per rendere più difficile per i cattivi puntare un laser su di esso.
Modifica della cronologia vocale
Questa è un'estensione del "voice squatting" che è stata scoperta dalla società di sicurezza informatica Check Point Research nell'agosto 2020 (e da allora è stata risolta da Amazon), ma vale la pena essere consapevoli di cos'altro potrebbe essere in grado di fare un'abilità nefasta.
CPR ha scoperto che l'intera cronologia vocale potrebbe essere resa disponibile a un hacker con un solo clic su un collegamento fraudolento che ha installato surrettiziamente un'abilità non autorizzata.
Non ha molto valore rubare ore e ore di registrazioni mentre imposti timer e accendi e spegni le luci, ma i dati potrebbero potenzialmente essere utilizzati per ingannare i sistemi di verifica vocale e persino creare deepfake audio.
Ancora una volta, probabilmente non c'è un grande appetito nella comunità degli hacker per la creazione di false conversazioni che coinvolgono membri casuali del pubblico, ma è bene sapere cosa è possibile.
Come fermarlo
Come accennato in precedenza, Amazon ha chiuso questa scappatoia ora e non c'erano prove che fosse mai stata sfruttata, ma se sei preoccupato per quanta parte della tua cronologia vocale viene archiviata, puoi impostare l'eliminazione periodica.
Per prima cosa apri l'app Alexa sul tuo telefono e seleziona il menu Altro nell'angolo in basso a destra. Quindi tocca Impostazioni e scegli Alexa Privacy. Nella schermata che si apre, seleziona Gestisci i tuoi dati Alexa e sarai in grado di dire ad Amazon di eliminare tutti i tuoi comandi vocali non appena il tuo Echo ha risposto, salvarli per tre mesi o salvarli per 18 mesi.
Per impostazione predefinita, verranno tutti salvati fino a quando non deciderai di eliminarli. Puoi farlo semplicemente chiedendo a Echo di eliminare tutto ciò che hai detto per un determinato periodo o andando alla sezione Rivedi cronologia vocale del menu Privacy di Alexa, dove puoi suddividerlo in periodi specifici e date esatte.