Исследователи превратили Amazon Echo в подслушивающее устройство

Исследователи превратили Amazon Echo в подслушивающее устройство

Для этого были использовали опции, доступные в комплекте разработчика программного обеспечения для сервиса Alexa.

image

Исследователи кибербезопасности из фирмы Checkmarx нашли способ превратить «умную» колонку Amazon Echo в подслушивающее устройство.

Специалистам не пришлось эксплуатировать какие-либо уязвимости в устройстве Echo или облачном сервисе Alexa, они просто использовали опции, доступные в комплекте разработчика программного обеспечения (SDK) для Alexa.

По словам исследователей, они использовали Alexa SDK для создания приложения калькулятора, которое продолжает прослушивать даже после предоставления пользователю ответа на исходный вопрос.

В частности, эксперты установили значение false в параметре shouldEndSession. Таким образом, созданное ими приложение калькулятора ожидает второй вопрос от пользователя сразу после ответа на первый, но без необходимости говорить «Alexa, открой калькулятор». Alexa остается активной и, ожидая второго вопроса, записывает все сказанное пользователем в так называемые слоты, которые разработчик может просмотреть в журналах приложения.

Разработчики также задействовали параметр Alexa SDK под названием reprompt, используемый приложениями, чтобы попросить пользователя повторить вопрос. В сочетании с параметром shouldEndSession интервал записи удалось увеличить в общей сложности до 16 секунд.

Исследователи уведомили Amazon о проблеме и компания выпустила соответствующие исправления.

Видео с демонстрацией атаки:

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle

Какие зарубежные новостные сайты по информационной безопасности вы читаете?