Alexa versus Alexa (AvA) este un nou atac care exploatează în mod ofensiv fișierele audio care conțin comenzi vocale și metode de redare audio pentru a obține controlul asupra Amazon Echo dispozitive pentru o perioadă nedeterminată de timp. Prin această vulnerabilitate, Amazon Alexa dispozitivele ar putea începe să redea transmisie audio de către un atacator de la distanță. Prin urmare, suspiciunea că pot prelua controlul asupra difuzoarelor inteligente cu Alexa integrat și să ne asculte devine reală.
Potrivit cercetătorilor de securitate de la Royal Holloway, Universitatea din Londra, aceasta este o vulnerabilitate corectată în care o persoană rău intenționată ar putea accesa un difuzor inteligent și poate transmite comenzi către ei înșiși sau către alte difuzoare compatibile Alexa din apropiere. Acest lucru ar permite a trage cu urechea asupra utilizatorilor, să facă achiziții nedorite și chiar să manipuleze calendarele conectate.
Acesta este modul în care Alexa atacă Alexa versus Alexa (AvA)
Cercetătorii RHUL Sergio Esposito și Daniele Sgandurra, în colaborare cu Giampaolo Bella de la Universitatea din Catania din Italia, au fost cei care au descoperit această vulnerabilitate pe care o descriu drept „o vulnerabilitate cu probleme de comandă”.
„Auto-activarea dispozitivului Echo are loc atunci când un fișier audio redat de dispozitivul însuși conține o comandă vocală, ” au spus cercetătorii în acest articol . Ei susțin că Ava afectează a treia și a patra generație Echo Dot boxe inteligente.
Declanșarea atacului este la fel de simplă ca și utilizarea unui dispozitiv compatibil Alexa pentru a începe redarea fișierelor audio create de sine. Cercetătorii sugerează că ar putea fi găzduiți de un post de radio pe internet care se poate sincroniza cu Amazon Echo. „Cu AvA, un atacator poate auto-emite orice comandă permisă către Echo, controlând-o în numele utilizatorului legitim.”
O face prin Alexa Skills
Alexa Skills adaugă funcționalitate suplimentară boxei inteligente Amazon. Difuzoarele Echo au deja o serie de Skills preinstalate, dar putem instala și mai multe din magazin și chiar să ne creăm propria Skill cu Alexa datorită Blueprints. Cu ei puteți asculta muzică, juca, comanda mâncare acasă, etc. Pentru a executa atacul este nevoie de exploatarea Abilităților. În continuare, puteți vedea în ce constă tehnica AvA.
Alexa vs. Alexa Attack
Aceasta este o metodă nouă de a prelua controlul asupra difuzorului Echo al unei persoane. „Un atacator ar putea folosi această funcție de ascultare pentru a configura un scenariu de inginerie socială în care abilitatea se pretinde a fi Alexa și răspunde la declarațiile utilizatorilor ca și cum ar fi Alexa.” cercetătorul în vulnerabilitate Sergio Esposito a declarat pentru The Register.
Amazon a corectat deja majoritatea vulnerabilităților, cu excepția uneia în care un dispozitiv asociat prin Bluetooth a putut reda fișiere audio create printr-un difuzor vulnerabil Amazon Echo, a confirmat Esposito. O vulnerabilitate urmărită ca CVE-2022-25809 căruia i s-a atribuit a Nivel de severitate mediu .
O intrare din Baza Națională de Vulnerabilitate din SUA a descris-o ca o „dezactivare necorespunzătoare a ieșirii audio” și a spus că a afectat „dispozitivele Amazon Echo Dot din a treia și a patra generație”, permițând „execuția arbitrară a comenzilor vocale pe aceste dispozitive printr-o abilitate rău intenționată”. (în cazul atacatorilor de la distanță) sau prin împerecherea unui dispozitiv Bluetooth rău intenționat (în cazul atacatorilor din apropiere fizică), cunoscut și sub numele de atac „Alexa vs. Alexa (AvA)” .
