Əsas Çıxarışlar
- Tədqiqatçılar bəzi Echo ağıllı dinamiklərini aldada biliblər ki, zərərli təlimatlarla bağlanmış audio faylları oxusunlar.
- Cihazlar təlimatları real istifadəçilərin əmrləri kimi şərh edərək hakerlərə nəzarəti ələ keçirməyə imkan verir.
- Hakerlər daha sonra digər ağıllı cihazları ələ keçirmək və hətta istifadəçiləri dinləmək üçün sındırılmış dinamiklərdən istifadə edə bilərlər.
Evlərini ağıllı cihazlarla təchiz etməyə tələsərkən, bir çox istifadəçi ağıllı dinamiklərin yaratdığı təhlükəsizlik risklərinə məhəl qoymur, təhlükəsizlik mütəxəssislərini xəbərdar edir.
Bəzi Amazon Echo cihazlarında bu yaxınlarda düzəldilmiş zəiflikdir ki, London Universiteti və İtaliyanın Kataniya Universitetinin tədqiqatçıları bu ağıllı dinamikləri özlərinə sındırmaq üçün silahlandırmaq üçün istifadə edə və istifadə edə bildilər.
"Bizim hücumumuz, Alexa qarşı Alexa (AvA), Echo cihazlarında özbaşına əmrlərin verilməsinin zəifliyindən istifadə edən ilk hücumdur" deyə tədqiqatçılar qeyd ediblər. "Biz təsdiq etdik ki, AvA vasitəsilə təcavüzkarlar məişət daxilindəki ağıllı cihazları idarə edə, arzuolunmaz əşyalar ala, əlaqəli təqvimlərə müdaxilə edə və istifadəçini dinləyə bilər."
Dost atəşi
Tədqiqatçılar öz məqalələrində ağıllı dinamikləri audio faylları oxutmaq üçün onlara güzəştə getmə prosesini nümayiş etdirirlər. Təhlükə yarandıqdan sonra qurğular özlərini oyandıra və uzaqdan hücum edən tərəfindən verilən əmrləri yerinə yetirməyə başlaya bilər. Tədqiqatçılar təcavüzkarların sındırılmış cihaza yüklənmiş proqramlara necə müdaxilə edə, telefon zəngləri edə, Amazon-da sifariş verə və s.
Tədqiqatçılar hücum mexanizmini həm üçüncü, həm də dördüncü nəsil Echo Dot cihazlarında uğurla sınaqdan keçirdilər.
Maraqlıdır ki, bu hack saxtakar dinamiklərdən asılı deyil və bu, hücumun mürəkkəbliyini daha da azaldır. Bundan əlavə, tədqiqatçılar istismar prosesinin olduqca sadə olduğunu qeyd edirlər.
AvA Echo cihazı dinamikləri istifadəçi tərəfindən verilən adi əmrlər kimi qəbul etməyə aldadan səs əmrlərini ehtiva edən audio faylı yayımlamağa başlayanda başlayır. Cihaz müəyyən bir hərəkəti yerinə yetirmək üçün ikinci dərəcəli təsdiq tələb etsə belə, tədqiqatçılar zərərli sorğunun uyğunluğu təmin etmək üçün kifayət etməsindən təxminən altı saniyə sonra sadə "bəli" əmrini təklif edirlər.
Faydasız Bacarıq
Tədqiqatçılar ağıllı dinamikləri zərərli qeydi oxutmaq üçün iki hücum strategiyası nümayiş etdirirlər.
Birində təcavüzkarın dinamiklərin Bluetooth-birləşdirmə diapazonunda smartfon və ya noutbuka ehtiyacı olacaq. Bu hücum vektoru əvvəlcə dinamiklərə yaxınlıq tələb etsə də, qoşalaşdıqdan sonra təcavüzkarlar istədikləri kimi dinamiklərə qoşula bilər ki, bu da onlara ilkin cütləşmədən sonra istənilən vaxt faktiki hücumu həyata keçirmək azadlığı verir.
İkinci, tamamilə uzaqdan hücumda təcavüzkarlar Echo-nu zərərli əmrləri ifa etmək üçün internet radio stansiyasından istifadə edə bilərlər. Tədqiqatçılar qeyd edirlər ki, bu üsul hədəf istifadəçini Echo-ya zərərli Alexa bacarığı yükləmək üçün aldatmaqdan ibarətdir.
Hər kəs yeni Alexa bacarığı yarada və dərc edə bilər, Alexa-nın aktiv olduğu cihazda işləmək üçün xüsusi imtiyazlara ehtiyac yoxdur. Bununla belə, Amazon bildirir ki, təqdim olunan bütün bacarıqlar Alexa bacarıqlar mağazasında canlı yayımlanmadan əvvəl yoxlanılır.
Ivanti-nin Baş Məhsul Meneceri Todd Schell Lifewire-a e-poçt vasitəsilə bildirib ki, AvA hücum strategiyası ona bu qurğular ilk dəfə istifadəyə verildikdə hakerlərin Wi-Fi zəifliklərindən necə istifadə edəcəyini xatırladır, simsiz rabitəni sındırmaq üçün WiFi radiosu ilə məhəllələri gəzir. standart parollardan istifadə edərək giriş nöqtələri (AP). Təcavüzkarlar AP-ni pozduqdan sonra ya daha çox təfərrüat üçün ov edərdilər, ya da sadəcə xarici hücumlar edərdilər.
"Bu son [AvA] hücum strategiyası ilə gördüyüm ən böyük fərq ondan ibarətdir ki, hakerlər giriş əldə etdikdən sonra çox iş görmədən sahibinin şəxsi məlumatlarından istifadə edərək əməliyyatları tez həyata keçirə bilirlər" dedi.
Schell qeyd edir ki, AvA-nın yeni hücum strategiyasının uzunmüddətli təsiri yeniləmələrin nə qədər tez yayıla biləcəyindən, insanların cihazlarını yeniləmək üçün nə qədər vaxt aparmasından və yenilənmiş məhsulların zavoddan nə vaxt göndərilməyə başlamasından asılı olacaq.
AvA-nın təsirini daha geniş miqyasda qiymətləndirmək üçün tədqiqatçılar 18 istifadəçidən ibarət tədqiqat qrupu üzərində sorğu keçiriblər ki, bu, tədqiqatçılar tərəfindən öz məqalələrində vurğulanan AvA-ya qarşı məhdudiyyətlərin əksəriyyətinin çətin ki, istifadə olunduğunu göstərib. praktikada.
Schell təəccüblənmir. "Gündəlik istehlakçı bütün təhlükəsizlik məsələlərini əvvəlcədən düşünmür və adətən yalnız funksionallığa diqqət yetirir."