Везде, где проникают технологии, хакеры не будут далеко позади, а это означает, что ваш динамик Alexa — будь то Echo Dot или Echo Show — уже находится на радаре плохих парней.

Благодаря тому, что Alexa постоянно слушает команды, умные колонки становятся идеальными устройствами для прослушивания — если злоумышленники могут обойти установленную на них систему безопасности. Вызовите лай праведного негодования от всех, кто знал, что приглашать Amazon в свой дом было плохой идеей.

Это было еще в августе 2017 года, когда впервые стало известно об этом громком взломе. Марк Барнс из MWR Labs занялся своим паяльником, сделал то, о чем обычному человеку трудно даже подумать, и провернул впечатляющее доказательство концепции, которое можно было легко улучшить и продать тем, у кого гораздо меньше технических способностей.

Затем гнусные цели могут варьироваться от простого прослушивания до кражи учетной записи пользователя Amazon. Отвратительные вещи.

Тревожным моментом является то, что способ Барнса — не единственный способ взлома, который может выполнить человек, чтобы заставить ваш Amazon Echo делать то, чего вы бы не хотели. Так насколько же должны быть обеспокоены владельцы Alexa? Итак, вот на что вам нужно обратить внимание и как предотвратить это.

Голос на корточках

Одной из самых больших угроз безопасности для Alexa на данный момент являются поддельные навыки, также известные как Voice Squatting. Исследователи из Университета Индианы смогли зарегистрировать навыки, которые звучали как популярные действующие лица, используя акценты и неправильное произношение для незаконных невольных установок.

В ходе исследования были созданы навыки Alexa и Google Actions, которые улавливали небольшие нюансы в командах людей. В этом примере они создали навыки, которые играли на навыке Capital One (банковское приложение), чтобы установить фиктивное приложение для «Alexa, start Capital Won» или «Capital One Please».

Amazon заблокировала эксплойт, который навыки могут использовать для подавления прослушивания через открытый умный динамик, что фактически превращает его в устройство для прослушивания.

Тем не менее, по-прежнему полезно отслеживать навыки, которые вы установили через приложение Alexa. С некоторыми навыками, которые ищут платежную информацию и могут похвастаться возможностью подключения к другим службам, а также низким барьером для установки навыков, эта проблема может не исчезнуть слишком быстро.

Взлом Барнса: превращение Echo в прослушивающее устройство

Барнс хорошо покопался в Echo и обнаружил, что можно снять резиновую основу с моделей первого выпуска, чтобы открыть некоторые точки доступа, которые предположительно использовались для тестирования ошибок в прошлом.

Он подключил устройство для чтения SD-карт к одному из этих терминалов, а затем приступил к рутированию mutha с любыми программными дополнениями. Чтобы превратить Echo в подслушивающее устройство, он получил доступ к его постоянно включенному микрофону и направил все, что он слышал, на удаленный компьютерный терминал в другом месте. Привет, вуаля, устройство для прослушивания умного дома.

Мелким шрифтом является то, что резиновое дно и внешнее соединение присутствуют только в первой версии Echos еще в 2015 и 2016 годах. Более поздние модели не имеют этой функции.

Эхо Барнса могло выглядеть немного подозрительно со всеми этими торчащими из него проводами, но есть много возможностей для тонкой настройки хака, чтобы все кусочки оставались невидимыми.

Как это остановить

Ну, если вы купили свой Echo в 2017 году или позже, то вы автоматически невосприимчивы к этому.

Для всех остальных простое решение — не позволять никому работать с вашим Echo, так сказать, паяльной лампой и плоскогубцами.

Конечно, фальсификация может быть совершена еще до того, как вы купили вещь, поэтому убедитесь, что вы покупаете прямо на Amazon.

Наконец, для полного эффекта пояса и подтяжек нажмите кнопку «Отключить звук» в верхней части эха, если вы говорите что-то, что вы действительно не хотите, чтобы вас услышали. По словам Барнса, это невозможно отключить с помощью программного обеспечения.

Подключенный домашний хак: «Алекса, открой входную дверь»

Вы можете установить Echo в качестве центра вашего умного домашнего массива. Это легко сделать, и мы, конечно, никому не советуем этого делать. Однако стоит иметь в виду, что Алекса будет разговаривать с кем угодно.

Виртуальный помощник Amazon не имеет каких-либо ограничений аутентификации по распознаванию голоса. Итак, теоретически, если вы поместите Echo в пределах слышимости внешнего мира, то незнакомец, стоящий возле ваших окон, входной или задней двери, может начать обращаться к Alexa с просьбами. Таким образом, они могут включать и выключать свет, вмешиваться в работу вашего отопления или даже, возможно, отпирать ваши двери.

Теперь, вот огромное НО. Умные замки с поддержкой Echo обычно имеют второй уровень безопасности.

Так, например, августовский Smart Lock Pro требует, чтобы вы установили четырехзначный PIN-код, который вам нужно произнести одновременно с командой разблокировки, и этого должно быть достаточно для обеспечения безопасности.

Другие требуют, чтобы ваш мобильный телефон находился в пределах диапазона Bluetooth блокировки, а модель Yale вообще не позволяет разблокировать с помощью Echo. Итак, если кто-то не прячется в кустах у вашей входной двери и не подслушивает ваш PIN-код, вы здесь в безопасности.

Как это остановить

Не нужно слишком увлекаться размещением вашего Echo вдали от дверей и окон, потому что, действительно, если грабитель захочет поговорить с вашей Alexa, он сможет это сделать.

Все, что для этого потребуется, это хорошенько крикнуть через почтовый ящик. Вместо этого простое быстрое решение состоит в том, чтобы не удалять этот вторичный уровень защиты из вашего интеллектуального замка, независимо от того, насколько быстрее, по вашему мнению, может быть вход в вашу входную дверь. Либо так, либо вообще не подключайте свой умный замок к Echo.

Взлом шасси: волк в одежде Алексы

Это похоже на Эхо, звучит как Эхо, но действительно ли это Эхо? Кто-то может разработать свою собственную версию голосового помощника с совершенно другими и злыми целями, а затем просто вбить его в оболочку Amazon Echo и продать ничего не подозревающему игроку.

Было бы достаточно легко записать голос Алексы, попросив подлинное Эхо повторить фразы для вас, но сможете ли вы действительно записать достаточно ответов, чтобы удержать пользователя от вашей уловки?

На самом деле вам нужно будет поддерживать игру достаточно долго, чтобы собрать данные учетной записи или что-то еще, что вы хотите получить.

Если бы кто-то действительно хотел, конечно, они могли бы сидеть и писать ответы в режиме реального времени для поддельной Alexa в рот, но это больше, чем работа на полный рабочий день. Вероятно, только для серьезного шпионажа.

Как это остановить

Купите свое эхо на Amazon.

Атака дельфинов: «Флиппер только что что-то сказал?»

Нет, стая бутылконосых млекопитающих не собирается вторгаться в вашу кухню. Вместо этого их подлые умные ультразвуковые средства связи здесь подражают.

Получается, что Alexa — да, впрочем, и все машины, занимающиеся распознаванием голоса; что- нибудь с Siri, Google Assistant и т. д. — все они могут слышать то, что мы не можем.

Они были разработаны, чтобы понимать частоты, недоступные человеческому познанию, а это означает, что, если вы сможете получить подходящее оборудование, которое, кстати, стоит всего пару долларов, вы можете попросить Алексу и ее друзей сделать все, что вы хотите. чтобы никто не слышал.

Это может быть отключение системы безопасности умного дома, заказ всевозможных вкусностей, звонки по номерам с повышенным тарифом и черт знает что еще. Умная штука.

Вы можете поблагодарить гениев из Чжэцзянского университета за это.

Как это остановить

Что ж, хорошая новость заключается в том, что ультразвуковые частоты не так хорошо проходят сквозь стены и стекло, поэтому вам нужно находиться в пределах нескольких дюймов от эха, чтобы DolphinAttack работал.

Более того, Алекса повторяла сказанное ей перед выполнением операции, поэтому, даже если кто-то уже впустил вас в умный дом, они, вероятно, скоро услышат, что вы задумали.

Лазерный взлом

Логика подсказывает, что использование звука было бы очевидным способом взломать устройство, активируемое голосом, но в конце 2019 года исследователи из Университета электрокоммуникаций в Токио и Мичиганского университета обнаружили, что они могут активировать микрофон умного динамика с помощью лазер.

Изменяя интенсивность света на определенной частоте, они обнаружили, что могут обмануть динамик, заставив его преобразовать его в электрический сигнал. микрофон – линейка Echo, Google Home и Facebook Portal.

Используя различные «световые команды», им удавалось включать и выключать подключенное освещение, открывать двери гаража и совершать онлайн-покупки — и все это с расстояния более 100 метров.

Как это остановить

Пока кто-то не изменит способ работы микрофонов, эта уязвимость не исчезнет, но пока есть простое решение: отодвиньте свой Echo от любых окон, чтобы злоумышленникам было труднее посветить на него лазером.

Взлом голосовой истории

Это расширение «голосового приседания», которое было обнаружено фирмой по кибербезопасности Check Point Research в августе 2020 года (и с тех пор было исправлено Amazon), но стоит знать, что еще может сделать гнусный навык.

CPR обнаружил, что вся ваша голосовая история может быть доступна хакеру всего одним нажатием мошеннической ссылки, которая тайно устанавливает мошеннический навык.

Нет большой ценности в краже часов и часов записи того, как вы устанавливаете таймеры и включаете и выключайте свет, но данные потенциально могут быть использованы для обмана систем проверки голоса и даже для создания звуковых дипфейков.

Опять же, в хакерском сообществе, вероятно, нет большого аппетита к созданию поддельных разговоров с участием случайных представителей общественности, но хорошо знать, что это возможно.

Как это остановить

Как упоминалось выше, Amazon закрыла эту лазейку, и не было никаких доказательств того, что она когда-либо использовалась, но если вы беспокоитесь о том, какая часть вашей голосовой истории хранится, вы можете настроить ее на периодическое удаление.

Сначала откройте приложение Alexa на своем телефоне и выберите меню «Дополнительно» в правом нижнем углу. Затем нажмите «Настройки» и выберите «Конфиденциальность Alexa». На появившемся экране выберите «Управление данными Alexa», и вы сможете указать Amazon удалить все ваши голосовые команды, как только ваше эхо ответит на них, сохранить их на три месяца или сохранить на 18 месяцев.

По умолчанию все они будут сохранены, пока вы не решите их удалить. Вы можете сделать это, просто попросив Echo удалить все, что вы сказали за определенный период, или перейдя в раздел «Просмотр истории голоса» в меню «Конфиденциальность Alexa», где вы можете разбить его прямо на определенные периоды и точные даты.