Dziwne sposoby, w jakie można zhakować Twoje Amazon Echo – i jak je powstrzymać
Wszędzie tam, gdzie pojawia się technologia, hakerzy nie będą daleko w tyle, co oznacza, że Twój głośnik Alexa — czy to Echo Dot, czy Echo Show — jest już na radarze złoczyńców.
Ponieważ Alexa stale nasłuchuje poleceń, inteligentne głośniki są idealnymi urządzeniami do podsłuchiwania – jeśli złoczyńcy mogą ominąć nałożone na nie zabezpieczenia. Słychać okrzyki słusznego oburzenia ze strony wszystkich, którzy wiedzieli, że zapraszanie Amazon do domu to zły pomysł.
To było w sierpniu 2017 r., kiedy ten głośny hack po raz pierwszy wyszedł na jaw. Mark Barnes z MWR Labs był zajęty swoją lutownicą, zrobił coś, o czym przeciętny człowiek nawet nie pomyślałby i wykonał imponujący dowód koncepcji, który można łatwo udoskonalić i sprzedać osobom o znacznie mniejszych zdolnościach technicznych.
Nikczemne cele mogą wtedy przebiegać w dowolnym miejscu, od zwykłego podsłuchiwania do kradzieży konta Amazon użytkownika. Paskudne rzeczy.
Niepokojące jest to, że Barnes's nie jest jedynym rodzajem hakowania, które osoba może wykonać, aby twoje Amazon Echo zrobiło rzeczy, których wolałbyś, aby nie. Jak więc powinni być zaniepokojeni właściciele Alexy? Oto, na co musisz uważać i jak temu zapobiec.
Przysiady głosowe
Jednym z największych obecnie zagrożeń bezpieczeństwa wokół Alexy są fałszywe umiejętności – znane również jako Voice Squatting. Badacze z Indiana University byli w stanie zarejestrować umiejętności, które brzmiały jak popularne osoby pełniące funkcje, używając akcentów i błędnej wymowy do nielegalnych, nieświadomych instalacji.
Badanie stworzyło umiejętności Alexa i Google Actions, które odkurzyły drobne niuanse w poleceniach ludzi. W przykładzie stworzyli umiejętności, które grały na umiejętności Capital One (aplikacja bankowa), aby zainstalować fałszywą aplikację dla „Alexa, start Capital Won" lub „Capital One Please”.
Amazon zamknął exploit, którego umiejętności mogłyby użyć do zablokowania słuchania przez otwarty inteligentny głośnik, co skutecznie zamieniłoby go w urządzenie podsłuchowe.
Jednak nadal dobrze jest monitorować umiejętności, które zainstalowałeś za pomocą aplikacji Alexa. Ponieważ niektóre umiejętności szukają informacji o płatnościach i oferują możliwość łączenia się z innymi usługami, a także niski próg instalacji umiejętności, jest to problem, który może nie zniknąć zbyt szybko.
The Barnes Hack: Przekształcenie Echo w urządzenie podsłuchowe
Barnes miał dobre stare wykopaliska w Echo i odkrył, że można usunąć gumową podstawę modeli z pierwszej edycji, aby odsłonić niektóre punkty dostępu, które prawdopodobnie były używane do testowania błędów w ciągu dnia.
Podłączył czytnik kart SD do jednego z tych terminali, a następnie przystąpił do rootowania mutha za pomocą dowolnych dodatków programowych. Aby zamienić Echo w urządzenie podsłuchowe, uzyskał dostęp do jego zawsze włączonego mikrofonu i skierował wszystko, co usłyszał, do zdalnego terminala komputerowego w innym miejscu. Hej presto, inteligentne urządzenie do podsłuchiwania w domu.
Drobnym drukiem jest to, że gumowe dno i zewnętrzne złącze dostępowe są obecne tylko w pierwszej edycji Echos z lat 2015 i 2016. Późniejsze modele nie mają tej funkcji.
Echo Barnesa mogło wyglądać nieco podejrzanie z tymi wszystkimi wystającymi z niego drutami, ale jest wiele możliwości dostrojenia hacka, aby wszystkie kawałki były niewidoczne.
Jak to zatrzymać
Cóż, jeśli kupiłeś swoje Echo w 2017 roku lub później, automatycznie jesteś odporny na to.
Dla wszystkich innych prostym rozwiązaniem jest nie pozwalanie nikomu pracować nad twoim Echo za pomocą lampy lutowniczej i pary szczypiec, że tak powiem.
Oczywiście, manipulowanie można zrobić, zanim jeszcze kupisz rzecz, więc upewnij się, że kupujesz bezpośrednio od Amazon.
Wreszcie, aby uzyskać pełny efekt pasa i szelek, naciśnij przycisk Wycisz na górze Echo, jeśli mówisz coś, czego naprawdę nie chcesz być słyszany. Według Barnesa nie ma możliwości wyłączenia tego za pomocą oprogramowania.
Połączony hack domowy: „Alexa, odblokuj drzwi frontowe”
Możesz ustawić Echo jako centrum inteligentnego domu. Jest to łatwe do zrobienia i na pewno nikomu nie odradzamy. Warto jednak mieć na uwadze, że Alexa porozmawia z każdym.
Wirtualny asystent Amazon nie ma żadnych ograniczeń związanych z uwierzytelnianiem za pomocą rozpoznawania głosu. Teoretycznie więc, jeśli umieścisz Echo w zasięgu słuchu świata zewnętrznego, nieznajomy stojący w pobliżu twoich okien, frontowych lub tylnych drzwi może zacząć prosić Alexę. Mogą więc wyłączać i włączać światła, manipulować przy ogrzewaniu, a nawet otwierać drzwi.
Teraz jest ogromne ALE. Inteligentne zamki obsługujące echo zwykle mają drugą warstwę zabezpieczeń.
Na przykład August Smart Lock Pro wymaga ustawienia czterocyfrowego kodu PIN, który należy wypowiedzieć w tym samym czasie, co polecenie odblokowania, i to powinno wystarczyć, aby zapewnić bezpieczeństwo.
Inne wymagają, aby Twój telefon komórkowy znajdował się w zasięgu Bluetooth zamka, a model Yale w ogóle nie pozwala na odblokowanie przez Echo. Tak więc, jeśli ktoś nie czai się w krzakach przy twoich drzwiach wejściowych i nasłuchuje twojego kodu PIN, jesteś tutaj całkiem bezpieczny.
Jak to zatrzymać
Nie musisz zbytnio angażować się w ustawianie Echo z dala od drzwi i okien, ponieważ naprawdę, gdyby włamywacz chciał porozmawiać z twoją Alexą, mógłby.
Wystarczyłoby dobrze krzyknąć przez skrzynkę na listy. Zamiast tego prostym, szybkim rozwiązaniem jest nieusuwanie tego dodatkowego poziomu ochrony z inteligentnego zamka, bez względu na to, o ile szybciej myślisz, że dostanie się do drzwi wejściowych. Albo to, albo w ogóle nie łącz inteligentnego zamka z Echo.
Włamanie do podwozia: Wilk w ubraniu Alexy
Wygląda jak Echo, brzmi jak Echo, ale czy to naprawdę Echo? Ktoś mógłby zaprojektować własną wersję asystenta głosowego z zupełnie innymi i złymi celami, a następnie po prostu wsadzić go do skorupy Amazon Echo i sprzedać niczego niepodejrzewającemu graczowi.
Byłoby dość łatwo nagrać głos Alexy, prosząc prawdziwego Echo o powtórzenie dla ciebie fraz, ale czy naprawdę możesz nagrać wystarczającą liczbę odpowiedzi, aby powstrzymać użytkownika przed podstępem?
W rzeczywistości musiałbyś tylko kontynuować grę wystarczająco długo, aby zebrać dane konta lub cokolwiek innego, co chciałeś wyciągnąć.
Gdyby ktoś naprawdę chciał, oczywiście mógłby usiąść i pisać odpowiedzi w czasie rzeczywistym, aby fałszywa Alexa mogła je ustami ustami, ale to więcej niż praca na pełny etat. Prawdopodobnie tylko dla poważnego szpiegostwa.
Jak to zatrzymać
Kup swoje Echo z Amazon.
The DolphinAttack: „Czy Flipper właśnie coś powiedział?”
Nie, stado butlonosych ssaków nie zaatakuje Twojej kuchni. Zamiast tego, to ich nikczemnie sprytne ultradźwiękowe środki komunikacji stają się tu małpowane.
Okazuje się, że Alexa – a właściwie wszystkie maszyny zajmujące się rozpoznawaniem głosu; wszystko z Siri, Asystentem Google itp. – wszyscy słyszą rzeczy, których my nie słyszymy.
Zostały zaprojektowane tak, aby rozumieć częstotliwości wykraczające poza ludzkie możliwości, co oznacza, że jeśli uda ci się zdobyć odpowiedni sprzęt, który nawiasem mówiąc, kosztuje tylko kilka dolarów, możesz poprosić Alexę i kumpli, aby zrobili, co chcesz bez nikogo słyszącego.
Może to być rozbrajanie zabezpieczeń inteligentnego domu, zamawianie wszelkiego rodzaju gadżetów, dzwonienie na numery o podwyższonej opłacie i Bóg wie co jeszcze. Sprytne rzeczy.
Możesz za to podziękować geniuszom z Uniwersytetu Zhejiang.
Jak to zatrzymać
Cóż, dobrą wiadomością jest to, że częstotliwości ultradźwiękowe nie przechodzą tak dobrze przez ściany i szkło, więc musisz znajdować się w odległości kilku cali od Echa, aby DolphinAttack zadziałał.
Co więcej, Alexa przed wykonaniem operacji powtarzałaby to, co jej powiedziano, więc nawet jeśli ktoś już wpuścił Cię do inteligentnego domu, prawdopodobnie wkrótce usłyszy, co zamierzasz.
Hack laserowy
Logika sugeruje, że użycie dźwięku byłoby oczywistym sposobem włamania się do urządzenia aktywowanego głosem, ale pod koniec 2019 roku naukowcy z University of Electro-Communications w Tokio i University of Michigan odkryli, że mogą aktywować mikrofon inteligentnego głośnika za pomocą laser.
Zmieniając intensywność światła przy określonej częstotliwości, odkryli, że mogą oszukać głośnik, aby przekształcił je w sygnał elektryczny, co oznacza, że potrzebowali tylko linii wzroku, aby cicho „rozmawiać” z prawie wszystkim za pomocą wbudowanego mikrofon – seria Echo, Google Home i Portal Facebooka.
Za pomocą różnych „poleceń świetlnych” udało im się włączać i wyłączać podłączone światła, otwierać bramy garażowe i robić zakupy online – a wszystko to z odległości ponad 100 metrów.
Jak to zatrzymać
Dopóki ktoś nie zmieni sposobu działania mikrofonów, jest to luka, która nie zniknie, ale w międzyczasie istnieje proste rozwiązanie: odsuń echo od okien, aby utrudnić złoczyńcom skierowanie na nie lasera.
Włamanie do historii głosu
To rozszerzenie „przysiadu głosowego”, które zostało odkryte przez firmę Check Point Research zajmującą się cyberbezpieczeństwem w sierpniu 2020 r. (i od tego czasu zostało naprawione przez Amazon), ale warto wiedzieć, co jeszcze może zrobić nikczemna umiejętność.
CPR odkryło, że cała Twoja historia głosu może zostać udostępniona hakerowi za pomocą jednego kliknięcia fałszywego łącza, które potajemnie instaluje nieuczciwą umiejętność.
Nie ma wielkiej wartości w wielogodzinnych nagraniach, na których ustawiasz timery oraz włączasz i wyłączasz światła, ale dane mogą potencjalnie zostać wykorzystane do oszukania systemów weryfikacji głosowej, a nawet do tworzenia głębokich podróbek audio.
Ponownie, społeczność hakerów prawdopodobnie nie ma dużego apetytu na tworzenie fałszywych konwersacji z udziałem przypadkowych członków społeczeństwa, ale dobrze jest wiedzieć, co jest możliwe.
Jak to zatrzymać
Jak wspomniano powyżej, Amazon zamknął teraz tę lukę i nie ma dowodów na to, że kiedykolwiek została wykorzystana, ale jeśli martwisz się, jaka część historii Twojego głosu jest przechowywana, możesz ustawić okresowe usuwanie wszystkiego.
Najpierw otwórz aplikację Alexa na swoim telefonie i wybierz menu Więcej w prawym dolnym rogu. Następnie stuknij Ustawienia i wybierz Prywatność Alexa. Na wyskakującym ekranie wybierz Zarządzaj swoimi danymi Alexa, a będziesz mógł powiedzieć Amazonowi, aby usunął wszystkie Twoje polecenia głosowe, gdy tylko Twoje Echo na nie odpowie, zapisz je na trzy miesiące lub zapisz na 18 miesięcy.
Domyślnie wszystkie będą zapisywane, dopóki nie zdecydujesz się ich usunąć. Możesz to zrobić, po prostu prosząc Echo o usunięcie wszystkiego, co powiedziałeś przez określony czas, lub przechodząc do sekcji Przejrzyj historię głosu w menu Prywatność Alexa, gdzie możesz rozbić ją na określone okresy i dokładne daty.