Οι επιτιθέμενοι μπορούν να εξαπατήσουν τα ηχεία της ηχούς και να χακάρουν τον εαυτό τους

Πίνακας περιεχομένων:

Οι επιτιθέμενοι μπορούν να εξαπατήσουν τα ηχεία της ηχούς και να χακάρουν τον εαυτό τους
Οι επιτιθέμενοι μπορούν να εξαπατήσουν τα ηχεία της ηχούς και να χακάρουν τον εαυτό τους
Anonim

Βασικά Takeaways

  • Ερευνητές κατάφεραν να ξεγελάσουν ορισμένα έξυπνα ηχεία Echo για να αναπαράγουν αρχεία ήχου με κακόβουλες οδηγίες.
  • Οι συσκευές ερμηνεύουν τις οδηγίες ως εντολές από πραγματικούς χρήστες, επιτρέποντας στους χάκερ να αναλάβουν τον έλεγχο.
  • Οι χάκερ μπορούν στη συνέχεια να χρησιμοποιήσουν τα ηχεία που έχουν παραβιαστεί για να κατακτήσουν άλλες έξυπνες συσκευές και ακόμη και να παρακολουθούν τους χρήστες.
Image
Image

Σε βιασύνη να καλύψουν τα σπίτια τους με έξυπνες συσκευές, πολλοί χρήστες αγνοούν τους κινδύνους ασφαλείας που ενέχουν τα έξυπνα ηχεία, προειδοποιούν οι ειδικοί σε θέματα ασφάλειας.

Ένα χαρακτηριστικό παράδειγμα είναι η πρόσφατα διορθωμένη ευπάθεια σε ορισμένες συσκευές Amazon Echo, την οποία ερευνητές από το Πανεπιστήμιο του Λονδίνου και το Πανεπιστήμιο της Κατάνια, Ιταλία, κατάφεραν να εκμεταλλευτούν και να χρησιμοποιήσουν για να οπλίσουν αυτά τα έξυπνα ηχεία για να χακάρουν τον εαυτό τους.

"Η επίθεσή μας, Alexa εναντίον Alexa (AvA), είναι η πρώτη που εκμεταλλεύεται την ευπάθεια των αυθαίρετων εντολών που εκδίδουν οι ίδιοι σε συσκευές Echo", σημείωσαν οι ερευνητές. "Έχουμε επαληθεύσει ότι, μέσω του AvA, οι εισβολείς μπορούν να ελέγχουν έξυπνες συσκευές εντός του νοικοκυριού, να αγοράζουν ανεπιθύμητα αντικείμενα, να παραβιάζουν συνδεδεμένα ημερολόγια και να παρακολουθούν τον χρήστη."

Friendly Fire

Στο έγγραφό τους, οι ερευνητές καταδεικνύουν τη διαδικασία συμβιβασμού των έξυπνων ηχείων, βάζοντάς τα να αναπαράγουν αρχεία ήχου. Μόλις παραβιαστούν, οι συσκευές θα μπορούσαν να ξυπνήσουν και να αρχίσουν να εκτελούν εντολές που εκδίδονται από τον απομακρυσμένο εισβολέα. Οι ερευνητές αποδεικνύουν πώς οι επιτιθέμενοι θα μπορούσαν να παραβιάσουν τις εφαρμογές που έχουν ληφθεί στη χακαρισμένη συσκευή, να κάνουν τηλεφωνικές κλήσεις, να κάνουν παραγγελίες στο Amazon και πολλά άλλα.

Οι ερευνητές δοκίμασαν επιτυχώς τον μηχανισμό επίθεσης σε συσκευές Echo Dot τρίτης και τέταρτης γενιάς.

Είναι ενδιαφέρον ότι αυτό το hack δεν εξαρτάται από αδίστακτα ηχεία, γεγονός που μειώνει περαιτέρω την πολυπλοκότητα της επίθεσης. Επιπλέον, οι ερευνητές σημειώνουν ότι η διαδικασία εκμετάλλευσης είναι μάλλον απλή.

Το AvA ξεκινά όταν η συσκευή Echo ξεκινά τη ροή ενός αρχείου ήχου που περιέχει φωνητικές εντολές που ξεγελούν τα ηχεία ώστε να τις αποδεχτούν ως κανονικές εντολές που εκδίδονται από έναν χρήστη. Ακόμα κι αν η συσκευή ζητήσει μια δευτερεύουσα επιβεβαίωση για την εκτέλεση μιας συγκεκριμένης ενέργειας, οι ερευνητές προτείνουν μια απλή εντολή "ναι" περίπου έξι δευτερόλεπτα μετά το κακόβουλο αίτημα είναι αρκετή για να επιβάλει τη συμμόρφωση.

Άχρηστη δεξιότητα

Οι ερευνητές επιδεικνύουν δύο στρατηγικές επίθεσης για να κάνουν τα έξυπνα ηχεία να παίξουν την κακόβουλη εγγραφή.

Σε ένα, ο εισβολέας θα χρειαζόταν ένα smartphone ή φορητό υπολογιστή εντός του εύρους σύζευξης Bluetooth των ηχείων. Ενώ αυτό το διάνυσμα επίθεσης απαιτεί αρχικά εγγύτητα με τα ηχεία, αφού γίνει σύζευξη, οι εισβολείς μπορούν να συνδεθούν με τα ηχεία κατά βούληση, γεγονός που τους δίνει την ελευθερία να διεξάγουν την πραγματική επίθεση οποιαδήποτε στιγμή μετά την αρχική σύζευξη.

Στη δεύτερη, εντελώς απομακρυσμένη επίθεση, οι εισβολείς μπορούν να χρησιμοποιήσουν έναν διαδικτυακό ραδιοφωνικό σταθμό για να κάνουν το Echo να παίξει τις κακόβουλες εντολές. Οι ερευνητές σημειώνουν ότι αυτή η μέθοδος περιλαμβάνει την εξαπάτηση του στοχευόμενου χρήστη ώστε να κατεβάσει μια κακόβουλη ικανότητα Alexa στο Echo.

Οποιοσδήποτε μπορεί να δημιουργήσει και να δημοσιεύσει μια νέα ικανότητα Alexa, η οποία δεν χρειάζεται ειδικά προνόμια για να εκτελεστεί σε μια συσκευή με δυνατότητα Alexa. Ωστόσο, η Amazon λέει ότι όλες οι δεξιότητες που υποβάλλονται ελέγχονται πριν από τη ζωντανή μετάδοση στο κατάστημα δεξιοτήτων Alexa.

Image
Image

Ο Todd Schell, Senior Product Manager στην Ivanti, είπε στο Lifewire μέσω email ότι η στρατηγική επίθεσης AvA του υπενθυμίζει πώς οι χάκερ θα εκμεταλλεύονταν τα τρωτά σημεία του WiFi όταν πρωτοπαρουσιάστηκαν αυτές οι συσκευές, κυκλοφορώντας σε γειτονιές με ραδιόφωνο WiFi για να διαρρήξουν ασύρματα σημεία πρόσβασης (AP) χρησιμοποιώντας προεπιλεγμένους κωδικούς πρόσβασης. Αφού έβαζαν σε κίνδυνο ένα AP, οι επιτιθέμενοι είτε θα κυνηγούσαν για περισσότερες λεπτομέρειες είτε θα πραγματοποιούσαν απλώς επιθέσεις που έβλεπαν προς τα έξω.

"Η μεγαλύτερη διαφορά που βλέπω με αυτήν την τελευταία στρατηγική επίθεσης [AvA] είναι ότι αφού οι χάκερ αποκτήσουν πρόσβαση, μπορούν γρήγορα να διεξάγουν λειτουργίες χρησιμοποιώντας τα προσωπικά στοιχεία του κατόχου χωρίς πολλή δουλειά", είπε ο Schell.

Η Η Schell επισημαίνει ότι ο μακροπρόθεσμος αντίκτυπος της νέας στρατηγικής επίθεσης της AvA θα εξαρτηθεί από το πόσο γρήγορα μπορούν να διανεμηθούν οι ενημερώσεις, πόσο χρόνο χρειάζονται οι χρήστες για να ενημερώσουν τις συσκευές τους και πότε τα ενημερωμένα προϊόντα ξεκινούν να αποστέλλονται από το εργοστάσιο.

Για να αξιολογήσουν τον αντίκτυπο της AvA σε μεγαλύτερη κλίμακα, οι ερευνητές διεξήγαγαν μια έρευνα σε μια ομάδα μελέτης 18 χρηστών, η οποία έδειξε ότι οι περισσότεροι από τους περιορισμούς έναντι της AvA, που επισήμαναν οι ερευνητές στην εργασία τους, δεν χρησιμοποιούνται σχεδόν καθόλου. στην πράξη.

Η Schell δεν εκπλήσσεται. "Ο καθημερινός καταναλωτής δεν σκέφτεται εκ των προτέρων όλα τα ζητήματα ασφάλειας και συνήθως επικεντρώνεται αποκλειστικά στη λειτουργικότητα."

Συνιστάται:

Γιατί χρειαζόμαστε τεχνητή νοημοσύνη που εξηγεί τον εαυτό της

Γιατί χρειαζόμαστε τεχνητή νοημοσύνη που εξηγεί τον εαυτό της

LinkedIn χρησιμοποιεί τεχνητή νοημοσύνη που μπορεί να εξηγήσει τις μεθόδους του για τη βελτίωση των πωλήσεων και οι κυβερνήσεις εργάζονται για να καταστήσουν απαίτηση την εξηγήσιμη τεχνητή νοημοσύνη

Η Amazon απαγόρευσε τον εαυτό της από το Twitch επειδή έσπασε τους TOS

Η Amazon απαγόρευσε τον εαυτό της από το Twitch επειδή έσπασε τους TOS

Η Amazon χρειάστηκε να απαγορεύσει ένα από τα δικά της κανάλια από το Twitch, πιθανότατα επειδή ένας οικοδεσπότης παραβίασε τους Όρους Παροχής Υπηρεσιών κατά τη διάρκεια μιας ζωντανής ροής

Πώς η HeyShadyLady επανεφευρίσκει τον εαυτό της στο Twitch

Πώς η HeyShadyLady επανεφευρίσκει τον εαυτό της στο Twitch

HeyShadyLady, γνωστός και ως Ty Baka, είναι μια streamer του Twitch που ξεκίνησε με gaming, αλλά βρήκε το αληθινό της σπίτι όταν επανεφηύρε τον εαυτό της ως προπονήτρια ροής και θεραπευτή

Πώς τα έξυπνα ηχεία μπορούν να παρακολουθούν τον καρδιακό σας ρυθμό

Πώς τα έξυπνα ηχεία μπορούν να παρακολουθούν τον καρδιακό σας ρυθμό

Μελέτη του Πανεπιστημίου της Ουάσιγκτον διαπίστωσε ότι οι ψηφιακοί προσωπικοί βοηθοί, όπως το Amazon Alexa ή το Google Home, θα μπορούσαν να χρησιμοποιηθούν για την παρακολούθηση του καρδιακού παλμού των ανθρώπων που βρίσκονται κοντά. Αυτό θα μπορούσε να είναι το fitness tracker του μέλλοντος

Πώς να προσαρμόσετε τους ήχους ειδοποιήσεων της Samsung

Πώς να προσαρμόσετε τους ήχους ειδοποιήσεων της Samsung

Δεν θα ήταν ωραίο να προσαρμόσετε τους ήχους ειδοποιήσεων Samsung, ώστε να μπορείτε να γνωρίζετε εύκολα τον τύπο της ειδοποίησης που λαμβάνετε και από ποιον προέρχεται; Μπορείς. Να πώς