Njia Muhimu za Kuchukua
- Watafiti wamefaulu kuhadaa baadhi ya spika mahiri za Echo kucheza faili za sauti zilizo na maagizo hasidi.
- Vifaa hutafsiri maagizo kama maagizo kutoka kwa watumiaji halisi, hivyo kuwaruhusu wadukuzi kudhibiti.
- Wadukuzi wanaweza kutumia spika zilizodukuliwa ili kuchukua vifaa vingine mahiri na hata kuwasikiliza watumiaji.
Katika harakati za kupanga nyumba zao kwa kutumia vifaa mahiri, watumiaji wengi hupuuza hatari za usalama zinazoletwa na spika mahiri, waonya wataalamu wa usalama.
Mfano muhimu ni udhaifu uliotiwa viraka hivi majuzi katika baadhi ya vifaa vya Amazon Echo, ambavyo watafiti kutoka Chuo Kikuu cha London na Chuo Kikuu cha Catania, Italia, waliweza kutumia vibaya na kutumia kuwapa silaha spika hizi mahiri ili kujidukua.
"Shambulio letu, Alexa dhidi ya Alexa (AvA), ni la kwanza kutumia uwezekano wa kuathiriwa kwa amri za kiholela za kujitolea kwenye vifaa vya Echo," walibainisha watafiti. "Tumethibitisha kuwa, kupitia AvA, wavamizi wanaweza kudhibiti vifaa mahiri ndani ya nyumba, kununua vitu visivyotakikana, kuharibu kalenda zilizounganishwa na kumsikiliza mtumiaji."
Moto wa Kirafiki
Katika karatasi zao, watafiti wanaonyesha mchakato wa kuhatarisha spika mahiri kwa kuzifanya zicheze faili za sauti. Baada ya kuathiriwa, vifaa vinaweza kujiamsha na kuanza kutekeleza amri zilizotolewa na mvamizi wa mbali. Watafiti hao wanaonyesha jinsi washambuliaji wanavyoweza kuharibu programu zilizopakuliwa kwenye kifaa kilichodukuliwa, kupiga simu, kuagiza kwenye Amazon, na zaidi.
Watafiti walijaribu mbinu ya kushambulia kwa mafanikio kwenye vifaa vya Echo Dot vya kizazi cha tatu na cha nne.
Cha kufurahisha, udukuzi huu hautegemei wazungumzaji wachafu, jambo ambalo linapunguza zaidi utata wa mashambulizi. Zaidi ya hayo, watafiti wanabainisha kuwa mchakato wa unyonyaji ni rahisi sana.
AvA huanza wakati kifaa cha Echo kinapoanza kutiririsha faili ya sauti iliyo na amri za sauti zinazowalaghai spika kuzikubali kama amri za kawaida zinazotolewa na mtumiaji. Hata kama kifaa kitaomba uthibitisho wa pili ili kutekeleza kitendo fulani, watafiti wanapendekeza amri rahisi ya "ndiyo" takriban sekunde sita baada ya ombi hasidi inatosha kutekeleza uzingatiaji.
Ujuzi Usio na Maana
Watafiti wanaonyesha mbinu mbili za kushambulia ili kupata spika mahiri kucheza rekodi hasidi.
Katika moja, mvamizi atahitaji simu mahiri au kompyuta ya mkononi ndani ya masafa ya kuoanisha Bluetooth ya spika. Ingawa vekta hii ya shambulio haihitaji ukaribu na spika mwanzoni, mara baada ya kuoanishwa, wavamizi wanaweza kuunganisha kwa spika wapendavyo, jambo ambalo linawapa uhuru wa kufanya shambulio halisi wakati wowote baada ya kuoanisha kwa awali.
Katika shambulio la pili, la mbali kabisa, wavamizi wanaweza kutumia kituo cha redio cha mtandao kupata Echo ili kucheza amri hasidi. Watafiti wanabainisha kuwa njia hii inahusisha kumhadaa mtumiaji lengwa ili kupakua ujuzi mbaya wa Alexa kwenye Echo.
Mtu yeyote anaweza kuunda na kuchapisha ujuzi mpya wa Alexa, ambao hauhitaji mapendeleo maalum ili kufanya kazi kwenye kifaa kinachowashwa na Alexa. Hata hivyo, Amazon inasema ujuzi wote uliowasilishwa hukaguliwa kabla ya kwenda moja kwa moja kwenye duka la ujuzi la Alexa.
Todd Schell, Meneja Mwandamizi wa Bidhaa katika Ivanti, aliiambia Lifewire kupitia barua pepe kwamba mkakati wa mashambulizi wa AvA unamkumbusha jinsi wavamizi wangetumia udhaifu wa WiFi wakati vifaa hivi vilipoanzishwa kwa mara ya kwanza, wakiendesha gari karibu na vitongoji na redio ya WiFi ili kuvunja mtandao usiotumia waya. pointi za kufikia (AP) kwa kutumia nenosiri chaguo-msingi. Baada ya kuathiri AP, washambuliaji wangewinda kila mahali kwa maelezo zaidi au kufanya tu mashambulizi ya nje.
"Tofauti kubwa ninayoiona na mkakati huu wa hivi punde wa uvamizi wa [AvA] ni kwamba baada ya wavamizi kupata idhini ya kufikia, wanaweza kufanya shughuli kwa haraka kwa kutumia maelezo ya kibinafsi ya mmiliki bila kazi nyingi," alisema Schell.
Schell anaonyesha athari ya muda mrefu ya mkakati wa uvamizi wa riwaya ya AvA itategemea jinsi masasisho yanavyoweza kusambazwa kwa haraka, inachukua muda gani watu kusasisha vifaa vyao na wakati bidhaa zilizosasishwa zitaanza kusafirishwa kutoka kiwandani.
Ili kutathmini athari za AvA kwa kiwango kikubwa, watafiti walifanya utafiti kwenye kikundi cha utafiti cha watumiaji 18, ambao ulionyesha kuwa vikwazo vingi dhidi ya AvA, vilivyoangaziwa na watafiti kwenye karatasi zao, hazitumiki. kwa vitendo.
Schell hajashangaa. "Mtumiaji wa kila siku hafikirii kuhusu masuala yote ya usalama hapo awali na kwa kawaida huangazia utendakazi pekee."