As maneiras estranhas como seu Amazon Echo pode ser invadido – e como pará-los
Onde quer que a tecnologia permeie, os hackers não ficarão muito atrás, o que significa que seu alto-falante Alexa – seja um Echo Dot ou Echo Show – já está no radar dos bandidos.
Com o Alexa constantemente ouvindo comandos, os alto- falantes inteligentes são dispositivos de escuta perfeitos – se os bandidos puderem contornar a segurança colocada neles. Indique os latidos de justa indignação de eu-te-disse-sos em todos os lugares que sabiam que convidar a Amazon para sua casa era uma má ideia.
Foi em agosto de 2017, quando esse hack de alto perfil veio à tona. Mark Barnes, da MWR Labs, ocupou-se com seu ferro de solda, fez o que uma pessoa comum lutaria para imaginar e conseguiu o tipo de prova de conceito impressionante que poderia ser facilmente refinada e vendida para aqueles com muito menos habilidade técnica.
Fins nefastos podem ser executados em qualquer lugar, desde uma simples espionagem até o roubo da conta da Amazon de um usuário. Coisas desagradáveis.
A parte alarmante é que o Barnes's não é o único tipo de hack que uma pessoa pode executar para fazer seu Amazon Echo fazer coisas que você preferiria que não fizesse. Então, quão preocupados os proprietários de um Alexa devem estar? Bem, aqui está o que você precisa observar e como impedir que isso aconteça com você.
Voz agachada
Um dos maiores riscos de segurança em torno do Alexa no momento são as habilidades falsas – também conhecidas como Voice Squatting. Pesquisadores da Universidade de Indiana conseguiram registrar habilidades que soavam como titulares populares, usando sotaques e pronúncias erradas para instalações ilícitas involuntárias.
O estudo criou as habilidades do Alexa e o Google Actions que revelaram pequenas nuances nos comandos das pessoas. No exemplo, eles criaram habilidades que jogavam na habilidade Capital One (um aplicativo bancário), para instalar um aplicativo falso para "Alexa, inicie o Capital Won" ou "Capital One, por favor".
A Amazon fechou uma exploração que as habilidades poderiam usar para bloquear a audição por meio de seu alto-falante inteligente aberto, o que efetivamente o transformaria em um dispositivo de escuta.
No entanto, ainda é um bom trabalho monitorar as habilidades que você instalou por meio do aplicativo Alexa. Com algumas habilidades procurando informações de pagamento e ostentando a capacidade de conectar-se a outros serviços, e a baixa barreira para a instalação de habilidades, esse é um problema que pode não desaparecer tão rapidamente.
The Barnes Hack: Transformando o Echo em um dispositivo de escuta
Barnes deu uma boa e velha escavação no Echo e descobriu que você poderia remover a base de borracha dos modelos da primeira edição para revelar alguns pontos de acesso presumivelmente usados para testes de bugs no passado.
Ele conectou um leitor de cartão SD a um desses terminais e, em seguida, procedeu ao root do mutha com quaisquer adições de software desejadas. Para transformar o Echo em um dispositivo de escuta, ele acessou seu microfone sempre ligado e direcionou tudo o que ouviu para um terminal de computador remoto em outro lugar. E pronto, um dispositivo inteligente de escuta doméstica.
A pequena impressão é que o fundo de borracha e a conexão de acesso externo estão presentes apenas na primeira edição dos Echos de 2015 e 2016. Os modelos posteriores não têm esse recurso.
O eco de Barnes pode ter parecido um pouco suspeito com todos aqueles fios saindo dele, mas há muito espaço para ajustar o hack para manter todos os pedaços invisíveis.
Como pará-lo
Bem, se você comprou seu Echo em 2017 ou depois, está automaticamente imune a este.
Para todos os outros, bem, a solução simples é não deixar ninguém trabalhar no seu Echo com um maçarico e um alicate, por assim dizer.
Claro, a adulteração pode ser feita antes mesmo de você comprar a coisa, então certifique-se de comprar direto da Amazon.
Por fim, para obter o efeito completo de cinto e suspensórios, pressione o botão Mute na parte superior do Echo se estiver dizendo algo que realmente não deseja que seja ouvido. De acordo com Barnes, não há como desativar isso com software.
O hack da casa conectada: ‘Alexa, destranque a porta da frente'
Você pode configurar o Echo como o centro de sua matriz doméstica inteligente. É fácil de fazer e certamente não desaconselhamos ninguém. Vale lembrar, porém, que a Alexa fala com qualquer pessoa.
O assistente virtual da Amazon não vem com nenhum tipo de restrição de autenticação por reconhecimento de voz. Portanto, em teoria, se você colocar o Echo ao alcance da voz do mundo exterior, um estranho parado perto de suas janelas ou da porta da frente ou dos fundos poderá começar a fazer pedidos ao Alexa. Assim, eles podem acender e apagar as luzes, mexer no aquecimento ou, possivelmente, destrancar as portas.
Agora, aqui está o massivo MAS. Os bloqueios inteligentes habilitados para eco geralmente vêm com uma segunda camada de segurança.
Assim, por exemplo, o August Smart Lock Pro vem com o requisito de que você configure um PIN de quatro dígitos que você precisa dizer ao mesmo tempo que o comando de desbloqueio, e isso deve ser suficiente para manter as coisas seguras.
Outros exigem que seu celular esteja dentro do alcance do Bluetooth da fechadura e o modelo Yale não permite o desbloqueio por Echo. Portanto, com exceção de alguém à espreita nos arbustos perto da porta da frente, ouvindo seu PIN, você está bastante seguro aqui.
Como pará-lo
Não há necessidade de ficar muito envolvido em posicionar seu Echo longe de portas e janelas porque, realmente, se um ladrão quisesse falar com seu Alexa, eles poderiam.
Bastaria um bom grito em sua caixa de correio. Em vez disso, a solução rápida e simples é não remover esse nível secundário de proteção de sua fechadura inteligente, não importa o quanto você pense que pode ser mais rápido entrar pela porta da frente. Ou isso ou não conecte seu bloqueio inteligente ao seu Echo.
O hack do chassi: Wolf na roupa de Alexa
Parece um eco, soa como um eco, mas é realmente um eco? Seria possível alguém projetar sua própria versão de um assistente de voz com fins totalmente diferentes e malignos e, em seguida, apenas colocá-lo dentro de um shell Amazon Echo e vendê-lo a um apostador desavisado.
Seria fácil gravar a voz de Alexa pedindo a um Echo genuíno para repetir frases para você, mas você poderia realmente gravar respostas suficientes para manter o usuário longe de seu ardil?
Em termos reais, você só precisa manter o jogo o tempo suficiente para colher os detalhes da conta ou qualquer outra coisa que queira obter.
Se alguém realmente quisesse, é claro, poderia sentar e escrever respostas em tempo real para o falso Alexa falar, mas isso é mais do que um trabalho em tempo integral. Provavelmente um para espionagem séria apenas.
Como pará-lo
Compre seu Echo na Amazon.
The DolphinAttack: ‘Flipper acabou de dizer alguma coisa?'
Não, um bando de mamíferos com nariz de garrafa não está prestes a invadir sua cozinha. Em vez disso, são seus meios de comunicação ultrassônicos covardes e inteligentes que estão sendo imitados aqui.
Acontece que Alexa – e, de fato, todas as máquinas que lidam com reconhecimento de voz; qualquer coisa com Siri, Google Assistant, etc – todos eles podem ouvir coisas que não podemos.
Eles foram projetados para entender frequências além do alcance humano, o que significa que, se você conseguir o hardware certo, que custa apenas alguns dólares, a propósito, você pode pedir a Alexa e seus amigos para fazer o que quiser. sem ninguém ouvir.
Isso poderia desarmar a segurança doméstica inteligente, encomendar todos os tipos de guloseimas, telefonar para números de tarifa premium e Deus sabe o que mais. Coisas inteligentes.
Você pode agradecer aos gênios da Universidade de Zhejiang por isso.
Como pará-lo
Bem, a boa notícia é que as frequências ultrassônicas não viajam tão bem através de paredes e vidros, então você precisa estar a alguns centímetros do Echo para que o DolphinAttack funcione.
Além do mais, Alexa repetiria o que foi dito a ela antes de realizar a operação, então, mesmo que alguém já tenha deixado você entrar na casa inteligente, eles provavelmente vão ouvir o que você está fazendo em breve.
corte a laser
A lógica sugere que usar o som seria a maneira óbvia de invadir um dispositivo ativado por voz, mas, no final de 2019, pesquisadores da University of Electro-Communications em Tóquio e da University of Michigan descobriram que poderiam ativar o microfone de um alto-falante inteligente usando um laser.
Ao variar a intensidade da luz em uma frequência específica, eles descobriram que podiam enganar o alto-falante para convertê-lo em um sinal elétrico, o que significa que eles só precisavam de linha de visão para "falar" silenciosamente com praticamente qualquer coisa com um built-in microfone – uma gama Echo, Google Home e Portal do Facebook.
Usando vários ‘comandos de luz', eles conseguiram ligar e desligar as luzes conectadas, abrir portas de garagem e fazer compras online – e tudo a mais de 100 metros de distância.
Como pará-lo
Até que alguém mude a forma como os microfones funcionam, esta é uma vulnerabilidade que não vai desaparecer, mas enquanto isso há uma solução fácil: mova seu Echo para longe de qualquer janela para tornar mais difícil para qualquer bandido apontar um laser para ele.
Hack do histórico de voz
Esta é uma extensão de ‘agachamento de voz' que foi descoberta pela empresa de segurança cibernética Check Point Research em agosto de 2020 (e desde então corrigida pela Amazon), mas vale a pena estar ciente do que mais uma habilidade nefasta pode fazer.
A CPR descobriu que todo o seu histórico de voz poderia ser disponibilizado para um hacker com apenas um clique em um link fraudulento que instalava sub-repticiamente uma habilidade não autorizada.
Não há muito valor em roubar horas e horas de gravações de você definindo temporizadores e ligando e desligando as luzes, mas os dados podem ser usados para enganar sistemas de verificação de voz e até mesmo criar deepfakes de áudio.
Novamente, provavelmente não há um grande apetite na comunidade hacker para criar conversas falsas envolvendo membros aleatórios do público, mas é bom saber o que é possível.
Como pará-lo
Como mencionado acima, a Amazon fechou essa brecha agora e não há evidências de que ela tenha sido explorada, mas se você está preocupado com quanto do seu histórico de voz está sendo armazenado, pode configurá-lo para ser excluído periodicamente.
Primeiro, abra o aplicativo Alexa em seu telefone e selecione o menu Mais no canto inferior direito. Em seguida, toque em Configurações e escolha Alexa Privacy. Na tela que aparece, escolha Manage Your Alexa Data e você poderá dizer à Amazon para excluir todos os seus comandos de voz assim que seu Echo responder a eles, salvá-los por três meses ou salvá-los por 18 meses.
Por padrão, todos eles serão salvos até que você decida excluí-los. Você pode fazer isso apenas pedindo ao seu Echo para excluir tudo o que você disse por um período definido ou acessando a seção Revisar histórico de voz do menu Alexa Privacy, onde você pode dividi-lo em períodos específicos e datas exatas.