Epäilystä tulee totta: hakkerit voivat ottaa Alexan hallintaansa ja kuunnella sinua

Alexa versus Alexa (AvA) on uusi hyökkäys, joka hyödyntää äänikomentoja ja äänentoistomenetelmiä sisältäviä äänitiedostoja loukkaavasti saadakseen hallintaansa Amazon Echo laitteita määräämättömäksi ajaksi. Tämän haavoittuvuuden kautta Amazon Alexa laitteet voivat alkaa toistaa etähyökkääjän lähettämää ääntä. Siksi epäilys siitä, että he voivat hallita älykkäitä kaiuttimia Alexan integroidulla ja kuunnella meitä, käy toteen.

Lontoon yliopiston Royal Hollowayn tietoturvatutkijoiden mukaan tämä on korjattu haavoittuvuus, jossa pahantahtoinen henkilö voi päästä älykaiuttimeen ja lähettää komentoja itselleen tai muille lähellä oleville Alexa-yhteensopiville kaiuttimille. Tämä sallisi sen salakuunnella käyttäjille, tehdä ei-toivottuja ostoksia ja jopa manipuloida linkitettyjä kalentereita.

hakkerit voivat ottaa Alexan hallintaansa ja kuunnella sinua

Näin Alexa hyökkää Alexa vastaan ​​Alexa (AvA)

RHUL-tutkijat Sergio Esposito ja Daniele Sgandurra ovat yhteistyössä Giampaolo Bellan kanssa Catanian yliopistosta Italiasta löytäneet tämän haavoittuvuuden, jota he kuvailevat "komentoongelman haavoittuvuudeksi".

"Echo-laitteen itseaktivointi tapahtuu, kun laitteen itse toistama äänitiedosto sisältää äänikomennon, ", tutkijat sanoivat tässä artikkelissa . He väittävät, että Ava vaikuttaa kolmannen ja neljännen sukupolven Echo Dot älykkäät kaiuttimet.

Hyökkäyksen käynnistäminen on yhtä helppoa kuin Alexa-yhteensopivan laitteen käyttäminen itse luotujen äänitiedostojen toistamisen aloittamiseen. Tutkijat ehdottavat, että niitä voisi isännöidä Internet-radioasema, joka voi synkronoida Amazon Echon. "AvA:n avulla hyökkääjä voi itse antaa minkä tahansa sallitun komennon Echolle ohjaten sitä laillisen käyttäjän puolesta."

Se tekee sen Alexa Skillsin kautta

Alexa Skills lisää lisätoimintoja Amazonin älykaiuttimeen. Echo-kaiuttimiin on jo valmiiksi asennettuna sarja Skills-laitteita, mutta voimme myös asentaa lisää myymälästä ja jopa luoda oman taitomme Alexan avulla Blueprintsin ansiosta. Niiden avulla voit kuunnella musiikkia, pelata, tilata ruokaa kotiin jne. Hyökkäyksen toteuttaminen vaatii Taitojen hyödyntämistä. Seuraavaksi näet, mistä AvA-tekniikka koostuu.

Ataque Alexa vastaan ​​Alexa

Alexa vs. Alexa Attack

Tämä on uusi tapa hallita henkilön Echo-kaiutinta. "Hyökkääjä voisi sitten käyttää tätä kuuntelutoimintoa luodakseen sosiaalisen suunnittelun skenaarion, jossa taito teeskentelee olevansa Alexa ja vastaa käyttäjän lausuntoihin kuin se olisi Alexa." haavoittuvuustutkija Sergio Esposito kertoi The Registerille.

Amazon on jo korjannut suurimman osan haavoittuvuuksista, lukuun ottamatta yhtä, jossa Bluetooth-pariksi liitetty laite pystyi toistamaan haavoittuvan Amazon Echo -kaiuttimen kautta luotuja äänitiedostoja, Esposito vahvisti. Haavoittuvuus jäljitetty nimellä CVE-2022-25809 jolle on annettu a Keskivaikeusaste .

Yhdysvaltain kansallisen haavoittuvuustietokannan merkintä kuvaili sitä "äänilähdön epäasianmukaiseksi poistamiseksi käytöstä" ja sanoi, että se vaikutti "kolmannen ja neljännen sukupolven Amazon Echo Dot -laitteisiin", mikä mahdollistaa "äänikomentojen mielivaltaisen suorittamisen näissä laitteissa haitallisen taidon kautta. (etähyökkääjien tapauksessa) tai muodostamalla pariliitos haitallisen Bluetooth-laitteen kanssa (jos kyseessä ovat fyysisesti lähellä olevat hyökkääjät), joka tunnetaan myös nimellä "Alexa vs. Alexa (AvA)" -hyökkäys.