Alexa versus Alexa (AvA) ist ein neuer Angriff, der Audiodateien mit Sprachbefehlen und Audiowiedergabemethoden offensiv ausnutzt, um die Kontrolle zu erlangen Amazon Echo Geräte auf unbestimmte Zeit. Durch diese Schwachstelle Amazon Alexa Geräte könnten mit der Wiedergabe von Audioübertragungen durch einen entfernten Angreifer beginnen. Daher bewahrheitet sich der Verdacht, dass sie smarte Lautsprecher mit integrierter Alexa steuern und uns zuhören können.
Laut Sicherheitsforschern von Royal Holloway, University of London, ist dies eine gepatchte Schwachstelle, bei der eine böswillige Person auf einen intelligenten Lautsprecher zugreifen und Befehle an sich selbst oder andere Alexa-fähige Lautsprecher in der Nähe senden könnte. Dies würde es erlauben belauschen auf Benutzer, tätigen Sie unerwünschte Einkäufe und manipulieren Sie sogar verknüpfte Kalender.
So attackiert Alexa Alexa versus Alexa (AvA)
Die RHUL-Forscher Sergio Esposito und Daniele Sgandurra waren in Zusammenarbeit mit Giampaolo Bella von der Universität von Catania in Italien die Entdecker dieser Schwachstelle, die sie als „eine Befehlsproblem-Schwachstelle“ beschreiben.
„Die Selbstaktivierung des Echo-Geräts tritt auf, wenn eine vom Gerät selbst abgespielte Audiodatei einen Sprachbefehl enthält. “, sagten die Forscher In diesem Artikel . Sie behaupten, dass Ava wirkt Echo Dot der dritten und vierten Generation intelligente Lautsprecher.
Das Auslösen des Angriffs ist so einfach wie die Verwendung eines Alexa-fähigen Geräts, um die Wiedergabe selbst erstellter Audiodateien zu starten. Die Forscher schlagen vor, dass sie von einem Internetradiosender gehostet werden könnten, der sich mit Amazon Echo synchronisieren kann. „Mit AvA kann ein Angreifer selbst jeden zulässigen Befehl an Echo erteilen und ihn im Namen des legitimen Benutzers kontrollieren.“
Das geht über Alexa Skills
Alexa Skills fügen dem Amazon Smart Speaker zusätzliche Funktionen hinzu. Die Echo-Lautsprecher haben bereits eine Reihe von Skills vorinstalliert, wir können aber auch weitere aus dem Store installieren und dank Blueprints sogar einen eigenen Skill mit Alexa erstellen. Mit ihnen können Sie Musik hören, spielen, Essen nach Hause bestellen usw. Um den Angriff auszuführen, müssen die Fähigkeiten ausgenutzt werden. Als nächstes können Sie sehen, woraus die AvA-Technik besteht.
Alexa vs. Alexa-Angriff
Dies ist eine neuartige Methode, um die Kontrolle über den Echo-Lautsprecher einer Person zu übernehmen. „Ein Angreifer könnte diese Listening-Funktion dann verwenden, um ein Social-Engineering-Szenario einzurichten, in dem der Skill vorgibt, Alexa zu sein, und auf Benutzeranweisungen reagiert, als wäre er Alexa.“ Der Schwachstellenforscher Sergio Esposito sagte gegenüber The Register.
Amazon hat die meisten Schwachstellen bereits gepatcht, mit Ausnahme einer, bei der ein über Bluetooth gekoppeltes Gerät Audiodateien wiedergeben konnte, die über einen anfälligen Amazon Echo-Lautsprecher erstellt wurden, bestätigte Esposito. Eine Schwachstelle, die verfolgt wird als CVE-2022-25809 dem zugeordnet wurde a Mittlerer Schweregrad .
Ein Eintrag in der US National Vulnerability Database beschrieb dies als „unsachgemäße Deaktivierung der Audioausgabe“ und sagte, dass es „Amazon Echo Dot-Geräte der dritten und vierten Generation“ betraf und „die willkürliche Ausführung von Sprachbefehlen auf diesen Geräten über eine böswillige Fähigkeit“ ermöglichte (im Fall von Angreifern aus der Ferne) oder durch Koppeln eines schädlichen Bluetooth-Geräts (im Fall von Angreifern in physischer Nähe), auch bekannt als „Alexa vs. Alexa (AvA)“-Angriff .
