Негизги алып салуулар
- Изилдөөчүлөр кээ бир Echo акылдуу динамиктерин алдап, зыяндуу көрсөтмөлөр камтылган аудио файлдарды ойнотууга жетишти.
- Түзмөктөр инструкцияларды чыныгы колдонуучулардын буйруктары катары чечмелеп, хакерлерге көзөмөлдү колго алууга мүмкүнчүлүк берет.
- Ошондо хакерлер бузулган динамиктер аркылуу башка акылдуу түзмөктөрдү ээлеп, ал тургай колдонуучуларды тыңшай алышат.
Үйлөрүн акылдуу түзмөктөр менен тизүүгө шашылганда, көптөгөн колдонуучулар акылдуу динамиктердин коопсуздук коркунучтарын этибарга алышпайт, деп эскертет коопсуздук адистери.
Айрым Amazon Echo түзмөктөрүндөгү жакында жаңыланган алсыздыкты Лондон университетинин жана Италиянын Катания университетинин изилдөөчүлөрү бул акылдуу динамиктерди өздөрү бузуш үчүн куралдандыруу үчүн пайдаланып, колдоно алышкан.
"Биздин чабуулубуз, Alexa каршы Alexa (AvA), Echo түзмөктөрүндө өзүн өзү чыгарган ыктыярдуу буйруктардын аялуулугун биринчилерден болуп пайдаланган", - деп белгилешти изилдөөчүлөр. "Биз AvA аркылуу чабуулчулар үй ичиндеги акылдуу шаймандарды көзөмөлдөп, керексиз буюмдарды сатып алып, байланышкан календарларды бузуп, колдонуучуну тыңшай аларын текшердик."
Достук от
Изилдөөчүлөр өз макалаларында акылдуу динамиктерди аудио файлдарды ойнотууга алуу менен аларды компромат кылуу процессин көрсөтүшөт. Бир жолу бузулганда, түзмөктөр ойгонуп, алыскы чабуулчу тарабынан берилген буйруктарды аткара башташы мүмкүн. Окумуштуулар чабуулчулар бузулган түзмөккө жүктөлүп алынган тиркемелерди кантип бузуп, телефон чалууларын, Amazonда буйрутмаларды жана башкаларды кантип жасай аларын көрсөтүшөт.
Изилдөөчүлөр чабуул механизмин үчүнчү жана төртүнчү муундагы Echo Dot түзмөктөрүндө ийгиликтүү сынап көрүштү.
Кызыгы, бул бузукулук чабуулдун татаалдыгын андан ары азайткан шылуун баяндамачылардан көз каранды эмес. Мындан тышкары, изилдөөчүлөр эксплуатация процесси абдан жөнөкөй экенин белгилешет.
AvA Echo түзмөгү үн буйруктарын камтыган аудио файлды агылта баштаганда башталат, ал динамиктерди аларды колдонуучу чыгарган кадимки буйруктар катары кабыл алат. Түзмөк белгилүү бир аракетти аткаруу үчүн кошумча ырастоону сураса дагы, изилдөөчүлөр зыяндуу өтүнүч аткарылгандан кийин болжол менен алты секунддан кийин жөнөкөй "ооба" буйругун сунушташат.
Пайдасыз жөндөм
Изилдөөчүлөр акылдуу динамиктер зыяндуу жаздырууларды ойнотуу үчүн чабуулдун эки стратегиясын көрсөтүштү.
Биринде чабуулчуга динамиктердин Bluetooth-жупташтыруу диапазонунда смартфон же ноутбук керек болот. Бул чабуул вектору алгач динамиктерге жакын болууну талап кылса да, жупташкандан кийин чабуулчулар динамиктерге каалагандай туташып, аларга алгачкы жупташтыруудан кийин каалаган убакта чыныгы чабуулду жүргүзүүгө эркиндик берет.
Экинчи, толугу менен алыстан жасалган чабуулда, чабуулчулар зыяндуу буйруктарды ойнотуу үчүн Echo алуу үчүн интернет радиостанциясын колдоно алышат. Окумуштуулардын белгилешинче, бул ыкма максаттуу колдонуучуну Echo'го Alexa зыяндуу жөндөмүн жүктөп алуу үчүн алдоону камтыйт.
Ар ким Alexa иштетилген түзмөктө иштетүү үчүн атайын артыкчылыктарды талап кылбаган жаңы Alexa жөндөмүн түзүп жана жарыялай алат. Бирок, Amazon бардык тапшырылган көндүмдөр Alexa көндүмдөр дүкөнүндө түз эфирде текшерилет дейт.
Тодд Шелл, Ivanti компаниясынын улук продукт менеджери Lifewireге электрондук почта аркылуу AvA чабуул стратегиясы ага бул түзмөктөр биринчи жолу киргизилгенде хакерлер WiFi радиосу менен микрорайондорду кыдырып, зымсыз байланышты бузуш үчүн Wi-Fi радиосу менен кантип колдонорун эскертет деп билдирди. демейки сырсөздөрдү колдонуу менен кирүү пункттары (AP). APти бузуп алгандан кийин, чабуулчулар кененирээк маалымат алуу үчүн аңчылык кылышат же жөн гана сыртты караган чабуулдарды жасашмак.
"Мен бул акыркы [AvA] чабуул стратегиясынан көрүп турган эң чоң айырмачылык - хакерлерге кирүү мүмкүнчүлүгүн алгандан кийин, алар көп иштебестен эле ээсинин жеке маалыматын колдонуу менен ыкчам операцияларды жүргүзө алышат ", - деди Шелл.
Schell белгилегендей, AvAнын жаңы чабуул стратегиясынын узак мөөнөттүү таасири жаңыртуулардын канчалык тез таркатылышына, адамдардын түзмөктөрүн жаңыртууга канча убакыт талап кылына турганына жана жаңыртылган өнүмдөрдүн качан заводдон жеткириле баштаганына жараша болот.
AvA таасирин кеңири масштабда баалоо үчүн изилдөөчүлөр 18 колдонуучудан турган изилдөө тобунда сурамжылоо жүргүзүштү, бул изилдөөчүлөр өз макалаларында баса белгилеген AvAга каршы чектөөлөрдүн көбү дээрлик колдонулбагандыгын көрсөтүштү. практикада.
Шелл таң калбайт. "Күнүмдүк керектөөчү бардык коопсуздук маселелерин алдын ала ойлонбойт жана көбүнчө функцияга гана көңүл бурат."
