Era l'agosto 2017 quando questo hack di alto profilo venne alla luce per la prima volta. Mark Barnes di MWR Labs<\/a> si \u00e8 dato da fare con il suo saldatore, ha fatto ci\u00f2 a cui la persona media avrebbe faticato persino a pensare e ha tirato fuori il tipo di impressionante prova di concetto che potrebbe essere facilmente perfezionata e venduta a coloro con capacit\u00e0 tecniche molto inferiori.<\/p>\n I fini nefasti potrebbero quindi correre ovunque tra semplici intercettazioni al furto dell'account Amazon di un utente. Roba brutta.<\/p>\n La parte allarmante \u00e8 che Barnes's non \u00e8 l'unico tipo di hack che una persona potrebbe eseguire per far fare al tuo Amazon Echo cose che preferiresti non facesse. Quindi quanto dovrebbero essere preoccupati i proprietari di un Alexa? Bene, ecco a cosa devi stare attento e come evitare che accada a te.<\/p>\n Uno dei maggiori rischi per la sicurezza di Alexa in questo momento sono le abilit\u00e0 false, note anche come Voice Squatting. I ricercatori dell'Universit\u00e0 dell'Indiana sono stati in grado di registrare abilit\u00e0 che suonavano come incumbent popolari, usando accenti e pronunce errate per installazioni inconsapevoli illecite.<\/p>\n Lo studio ha creato le abilit\u00e0 di Alexa e le azioni di Google che hanno raccolto lievi sfumature nei comandi delle persone. Nell'esempio hanno creato abilit\u00e0 che giocavano sull'abilit\u00e0 Capital One (un'app bancaria), per installare un'app fasulla per "Alexa, avvia Capital Won" o "Capital One Please".<\/p>\n Amazon ha chiuso un exploit che le abilit\u00e0 potrebbero utilizzare per bloccare l'ascolto tramite il tuo altoparlante intelligente aperto, che lo trasformerebbe effettivamente in un dispositivo di ascolto.<\/p>\n Tuttavia, \u00e8 comunque un buon lavoro monitorare le competenze che hai installato tramite l'app Alexa. Con alcune competenze che cercano informazioni sui pagamenti e vantano la capacit\u00e0 di collegarsi ad altri servizi e la bassa barriera per l'installazione di competenze, questo \u00e8 un problema che potrebbe non risolversi troppo rapidamente.<\/p>\n Barnes ha avuto un buon vecchio scavo all'Echo e ha scoperto che si poteva rimuovere la base in gomma dei modelli della prima edizione per rivelare alcuni punti di accesso presumibilmente utilizzati per il test dei bug nel corso della giornata.<\/p>\n Ha collegato un lettore di schede SD a uno di questi terminali e poi ha proceduto al rooting del mutha con qualsiasi aggiunta software desiderata. Per trasformare Echo in un dispositivo di ascolto, ha avuto accesso al suo microfono sempre attivo e ha indirizzato tutto ci\u00f2 che sentiva a un terminale di computer remoto altrove. Ehi presto, un dispositivo intelligente per intercettare la casa.<\/p>\n La piccola stampa \u00e8 che il fondo in gomma e la connessione di accesso esterno sono presenti solo sulla prima edizione di Echos dal lontano 2015 e 2016. I modelli successivi non hanno questa caratteristica.<\/p>\n Barnes's Echo potrebbe sembrare un po' sospetto con tutti quei fili che ne sporgono, ma c'\u00e8 molto spazio per mettere a punto l'hack per mantenere tutti i pezzi invisibili.<\/p>\n Bene, se hai acquistato il tuo Echo nel 2017 o successivamente, sei automaticamente immune a questo.<\/p>\n Per tutti gli altri, beh, la soluzione semplice \u00e8 non lasciare che nessuno si metta a lavorare sul tuo Echo con una fiamma ossidrica e un paio di pinze, per cos\u00ec dire.<\/p>\n Naturalmente, la manomissione potrebbe essere eseguita prima ancora che tu abbia acquistato la cosa, quindi assicurati di acquistare direttamente da Amazon.<\/p>\n Infine, per l'effetto completo di cintura e bretelle, premi il pulsante Mute sopra l'eco se stai dicendo qualcosa che davvero non vuoi che sia ascoltato. Secondo Barnes, non c'\u00e8 modo di disabilitarlo con il software.<\/p>\n Puoi impostare Echo come centro del tuo array di casa intelligente. \u00c8 facile da fare e di certo non lo sconsiglieremmo a nessuno. Vale la pena ricordare, tuttavia, che Alexa parler\u00e0 con chiunque.<\/p>\n L'assistente virtuale di Amazon non ha alcun tipo di vincolo di autenticazione del riconoscimento vocale. Quindi, in teoria, se metti Echo a portata d'orecchio del mondo esterno, allora uno sconosciuto in piedi vicino alle tue finestre, o alla tua porta d'ingresso o sul retro, potrebbe iniziare a fare richieste ad Alexa. Quindi, potrebbero spegnere e riaccendere le luci, manomettere il riscaldamento o, eventualmente, anche sbloccare le porte.<\/p>\n Ora, ecco il massiccio MA. Le serrature intelligenti<\/a> abilitate per Echo di solito sono dotate di un secondo livello di sicurezza.<\/p>\n Quindi, ad esempio, August Smart Lock Pro viene fornito con il requisito di impostare un PIN di quattro cifre che devi pronunciare contemporaneamente al comando di sblocco e che dovrebbe essere sufficiente per mantenere le cose al sicuro.<\/p>\n Altri richiedono che il tuo telefono cellulare si trovi nel raggio del Bluetooth della serratura e il modello Yale non consente affatto lo sblocco tramite Echo. Quindi, a meno di qualcuno in agguato tra i cespugli vicino alla tua porta di casa che ascolta il tuo PIN, sei abbastanza al sicuro qui.<\/p>\n Non c'\u00e8 bisogno di essere troppo coinvolti nel posizionare il tuo Echo lontano da porte e finestre perch\u00e9, davvero, se un ladro volesse parlare con il tuo Alexa, potrebbe farlo.<\/p>\n Basterebbe solo un bel grido nella cassetta delle lettere. Invece, la semplice soluzione rapida \u00e8 non rimuovere quel livello secondario di protezione dalla tua serratura intelligente, non importa quanto pensi che possa essere pi\u00f9 veloce entrare nella tua porta di casa. O quello o non collegare affatto il tuo smart lock al tuo Echo.<\/p>\n Sembra un Echo, suona come un Echo ma \u00e8 davvero un Echo? Sarebbe possibile per qualcuno progettare la propria versione di un assistente vocale con fini completamente diversi e malvagi e poi semplicemente inserirlo in un guscio Amazon Echo e venderlo a uno scommettitore ignaro.<\/p>\n Sarebbe abbastanza facile registrare la voce di Alexa chiedendo a un vero Echo di ripetere le frasi per te, ma potresti davvero registrare abbastanza risposte per tenere l'utente lontano dal tuo stratagemma?<\/p>\n In termini reali, dovresti solo mantenere il gioco abbastanza a lungo da raccogliere i dettagli dell'account o qualsiasi altra cosa tu voglia estrarre.<\/p>\n Se qualcuno lo volesse davvero, ovviamente, potrebbe sedersi e scrivere risposte in tempo reale per la falsa Alexa da mettere in bocca, ma \u00e8 pi\u00f9 di un lavoro a tempo pieno. Probabilmente solo per spionaggio serio.<\/p>\n Acquista il tuo Echo da Amazon.<\/p>\n No, un branco di mammiferi dal naso a bottiglia non sta per invadere la tua cucina. Invece, \u00e8 il loro mezzo di comunicazione ultrasonico vile e intelligente che viene imitato qui.<\/p>\n Si scopre che Alexa – e, in effetti, tutte le macchine che si occupano di riconoscimento vocale; qualsiasi cosa con Siri, l' Assistente Google<\/a> e cos\u00ec via: tutti possono sentire cose che noi non possiamo.<\/p>\n Sono stati progettati per comprendere le frequenze al di l\u00e0 della comprensione umana, il che significa che, se riesci a procurarti l'hardware giusto<\/a>, che costa solo un paio di dollari, tra l'altro, puoi chiedere ad Alexa e ai tuoi amici di fare quello che vuoi senza che nessuno ascolti.<\/p>\n Ci\u00f2 potrebbe disarmare la sicurezza domestica intelligente<\/a>, ordinare ogni sorta di chicche, telefonare a numeri a tariffa maggiorata e chiss\u00e0 cos'altro. Roba intelligente.<\/p>\n Puoi ringraziare i geni dell'Universit\u00e0 di Zhejiang per quello.<\/p>\n Bene, la buona notizia \u00e8 che le frequenze ultrasoniche non viaggiano cos\u00ec bene attraverso pareti e vetri e simili, quindi dovresti trovarti a pochi centimetri da Echo affinch\u00e9 DolphinAttack funzioni.<\/p>\n Inoltre, Alexa ripeterebbe ci\u00f2 che le \u00e8 stato detto prima di eseguire l'operazione, quindi, anche se qualcuno ti ha gi\u00e0 fatto entrare nella casa intelligente, probabilmente sentiranno cosa stai facendo abbastanza presto.<\/p>\n La logica suggerisce che l'uso del suono sarebbe il modo pi\u00f9 ovvio per hackerare un dispositivo ad attivazione vocale ma, alla fine del 2019, i ricercatori dell'Universit\u00e0 di Electro-Communications di Tokyo e dell'Universit\u00e0 del Michigan hanno scoperto che potevano attivare il microfono di un altoparlante intelligente utilizzando un laser.<\/p>\n Variando l'intensit\u00e0 della luce a una particolare frequenza, hanno scoperto di poter indurre l'altoparlante a convertirlo in un segnale elettrico, il che significa che avevano solo bisogno di una linea di vista per "parlare" silenziosamente praticamente a qualsiasi cosa con un built-in microfono: una gamma Echo, Google Home e Portal di Facebook.<\/p>\n Utilizzando vari "comandi luce" sono riusciti ad accendere e spegnere le luci connesse, aprire le porte del garage e fare acquisti online, e tutto da oltre 100 metri di distanza.<\/p>\n Fino a quando qualcuno non cambier\u00e0 il modo in cui funzionano i microfoni, questa \u00e8 una vulnerabilit\u00e0 che non scomparir\u00e0, ma nel frattempo c'\u00e8 una soluzione semplice: allontana il tuo Echo da qualsiasi finestra per rendere pi\u00f9 difficile per i cattivi puntare un laser su di esso.<\/p>\n Questa \u00e8 un'estensione del "voice squatting" che \u00e8 stata scoperta dalla societ\u00e0 di sicurezza informatica Check Point Research nell'agosto 2020 (e da allora \u00e8 stata risolta da Amazon), ma vale la pena essere consapevoli di cos'altro potrebbe essere in grado di fare un'abilit\u00e0 nefasta.<\/p>\n CPR ha scoperto che l'intera cronologia vocale potrebbe essere resa disponibile a un hacker con un solo clic su un collegamento fraudolento che ha installato surrettiziamente un'abilit\u00e0 non autorizzata.<\/p>\n Non ha molto valore rubare ore e ore di registrazioni mentre imposti timer e accendi e spegni le luci, ma i dati potrebbero potenzialmente essere utilizzati per ingannare i sistemi di verifica vocale e persino creare deepfake audio.<\/p>\n Ancora una volta, probabilmente non c'\u00e8 un grande appetito nella comunit\u00e0 degli hacker per la creazione di false conversazioni che coinvolgono membri casuali del pubblico, ma \u00e8 bene sapere cosa \u00e8 possibile.<\/p>\n Come accennato in precedenza, Amazon ha chiuso questa scappatoia ora e non c'erano prove che fosse mai stata sfruttata, ma se sei preoccupato per quanta parte della tua cronologia vocale viene archiviata, puoi impostare l'eliminazione periodica.<\/p>\n Per prima cosa apri l'app Alexa sul tuo telefono e seleziona il menu Altro nell'angolo in basso a destra. Quindi tocca Impostazioni e scegli Alexa Privacy. Nella schermata che si apre, seleziona Gestisci i tuoi dati Alexa e sarai in grado di dire ad Amazon di eliminare tutti i tuoi comandi vocali<\/a> non appena il tuo Echo ha risposto, salvarli per tre mesi o salvarli per 18 mesi.<\/p>\n Per impostazione predefinita, verranno tutti salvati fino a quando non deciderai di eliminarli. Puoi farlo semplicemente chiedendo a Echo di eliminare tutto ci\u00f2 che hai detto per un determinato periodo o andando alla sezione Rivedi cronologia vocale del menu Privacy di Alexa, dove puoi suddividerlo in periodi specifici e date esatte.<\/p>\n
\n![\"Gli](\"https:\/\/hitech.mediadoma.com\/wp-content\/uploads\/2022\/08\/post-166598-62f0804ad0644.jpg\")
<\/h2>\nVoce accovacciata<\/h2>\n
\n![\"Gli](\"https:\/\/hitech.mediadoma.com\/wp-content\/uploads\/2022\/08\/post-166598-62f0804c83d31.jpg\")
<\/a><\/p>\nThe Barnes Hack: trasformare l'eco in un dispositivo di intercettazione<\/h2>\n
Come fermarlo<\/h3>\n
\n![\"Gli](\"https:\/\/hitech.mediadoma.com\/wp-content\/uploads\/2022\/08\/post-166598-62f0804ea5582.jpg\")
<\/a><\/p>\nL'hacking domestico connesso: "Alexa, apri la porta d'ingresso"<\/h2>\n
Come fermarlo<\/h3>\n
\n![\"Gli](\"https:\/\/hitech.mediadoma.com\/wp-content\/uploads\/2022\/08\/post-166598-62f08050ed0bf.jpg\")
<\/a><\/p>\nL'hacking del telaio: Lupo nei panni di Alexa<\/h2>\n
Come fermarlo<\/h3>\n
\n![\"Gli](\"https:\/\/hitech.mediadoma.com\/wp-content\/uploads\/2022\/08\/post-166598-62f08052a4da5.jpg\")
<\/a><\/p>\nThe DolphinAttack: "Flipper ha appena detto qualcosa?"<\/h2>\n
Come fermarlo<\/h3>\n
\n![\"Gli](\"https:\/\/hitech.mediadoma.com\/wp-content\/uploads\/2022\/08\/post-166598-62f08054d6a2f.jpg\")
<\/a><\/p>\nHack laser<\/h2>\n
Come fermarlo<\/h3>\n
\n![\"Gli](\"https:\/\/hitech.mediadoma.com\/wp-content\/uploads\/2022\/08\/post-166598-62f08056c5782.jpg\")
<\/a><\/p>\nModifica della cronologia vocale<\/h2>\n
Come fermarlo<\/h3>\n