«Алекс, ты шпионил за мной?» - aaaa ..... мммм ..... хммм ..... может быть !!!
Исследователи безопасности разработали новое злонамеренное «умение» для популярного помощника голоса Amazon Alexa, который может превратить ваше Amazon Echo в полноценное шпионское устройство.
Amazon Echo - это всегда слушающий голос, активированный интеллектуальным домашним динамиком, который позволяет вам делать все, используя свой голос, например, играть музыку, настраивать сигналы тревоги и отвечать на вопросы.
Однако устройство не остается активным все время; вместо этого он спит, пока пользователь не скажет «Alexa», и по умолчанию он заканчивает сеанс после некоторой продолжительности.
Amazon также позволяет разработчикам создавать пользовательские «навыки», приложения для Alexa, которые являются мозгом миллионов интеллектуальных устройств, активированных голосом, включая Amazon Echo Show, Echo Dot и Amazon Tap.
Тем не менее, исследователи безопасности в кибербезопасности фирмы Checkmarx создали концепцию «умения» для Alexa, основанной на концепции, которая заставляет устройство бесконечно записывать объемный звук, чтобы тайно подслушивать разговоры пользователей, а затем также отправляет полные транскрипты сторонним Веб-сайт.
Замаскированный как простой калькулятор для решения математических задач, вредоносный навык, если он установлен, немедленно активируется в фоновом режиме после того, как пользователь говорит «Alexa, open calculator».
«Инициализация калькулятора инициализирована, а функция API \ Lambda, связанная с этим умением, получает запрос на запуск в качестве входных данных», - говорится в отчете исследователей .
В демонстрации видео исследователи показывают, что когда пользователь открывает сеанс с приложением калькулятора (в фоновом режиме), он также создает вторую сессию без устного указания пользователю о том, что микрофон все еще активен.
По дизайну Alexa должна либо закончить сеанс, либо попросить пользователя о другой команде сохранить сеанс открытым. Тем не менее, хак может позволить злоумышленникам удерживать второй сеанс активным для шпионажа на пользователях, а заканчивая первым, когда пользовательское взаимодействие становится выше.
К счастью, вы все равно можете заметить, что шпион красный, если вы заметили синий свет на устройстве Echo, активированном в течение более длительного периода, особенно когда вы не разговариваете с ним.
Checkmarx сообщила об этой проблеме Amazon, и компания уже решила проблему, регулярно просматривая вредоносные навыки, которые «молчаливые подсказки или слушают необычные промежутки времени», и выгнали их из своего официального магазина.
Это не первый алексейский хак, продемонстрированный исследователями. В прошлом году отдельная группа исследователей из MWR InfoSecurity показала, как хакеры могут превратить некоторые модели Amazon Echo в скрытое устройство для прослушивания .
