Үндсэн санаанууд
- Судлаачид зарим Echo ухаалаг чанга яригчийг хууран мэхэлж, хортой зааварчилгаа агуулсан аудио файлуудыг тоглуулж чаджээ.
- Төхөөрөмжүүд нь зааврыг бодит хэрэглэгчдийн тушаал гэж тайлбарлаж, хакеруудад хяналт тавих боломжийг олгодог.
- Хакерууд хакердсан чанга яригчийг ашиглан бусад ухаалаг төхөөрөмжүүдийг булаан авч, бүр хэрэглэгчдийг чагнаж болно.
Ухаалаг төхөөрөмжөөр гэр орноо доторлох гэж яарч байгаа энэ үед олон хэрэглэгчид ухаалаг чанга яригчийн аюулгүй байдлын эрсдлийг үл тоомсорлодог тул аюулгүй байдлын мэргэжилтнүүдэд анхааруулж байна.
Үүний нэг жишээ бол Лондонгийн их сургууль болон Италийн Катаниагийн их сургуулийн судлаачид эдгээр ухаалаг чанга яригчийг өөрсдөө хакердахын тулд ашиглаж, ашиглаж чадсан Amazon Echo төхөөрөмжүүдийн саяхан засвар хийсэн эмзэг байдал юм.
"Бидний довтолгоо, Alexa эсрэг Alexa (AvA) нь Echo төхөөрөмж дээр дур зоргоороо тушаал өгөх эмзэг байдлыг хамгийн түрүүнд ашигласан" гэж судлаачид тэмдэглэжээ. "Бид AvA-аар дамжуулан халдагчид гэр доторх ухаалаг хэрэгслийг удирдаж, хүсээгүй эд зүйлсийг худалдан авч, холбогдсон хуанлид халдаж, хэрэглэгчийг чагнаж чадна гэдгийг бид баталгаажуулсан."
Нөхөрсөг гал
Судлаачид өөрсдийн илтгэлдээ ухаалаг чанга яригчийг аудио файл тоглуулах замаар эвдэх үйл явцыг харуулсан. Эвдрэлд орсны дараа төхөөрөмжүүд өөрсдийгөө сэрээж, алсын халдагчаас өгсөн тушаалуудыг гүйцэтгэж эхлэх боломжтой. Судлаачид халдагчид хэрхэн хакердсан төхөөрөмж дээр татаж авсан аппликешнүүдийг хэрхэн яаж хувиргаж, утсаар ярих, Amazon дээр захиалга өгөх гэх мэтийг харуулж байна.
Судлаачид гурав болон дөрөв дэх үеийн Echo Dot төхөөрөмж дээр халдлагын механизмыг амжилттай туршсан.
Сонирхолтой нь, энэ хакерууд нь хуурамч чанга яригчаас хамаардаггүй бөгөөд энэ нь халдлагын нарийн төвөгтэй байдлыг улам бүр багасгадаг. Түүнчлэн, мөлжлөгийн үйл явц нь маш энгийн гэдгийг судлаачид тэмдэглэжээ.
AvA нь Echo төхөөрөмж нь чанга яригчийг хуурч мэхлэх дуут команд агуулсан аудио файлыг дамжуулж эхлэх үед үүнийг хэрэглэгчийн гаргасан ердийн тушаал гэж хүлээн зөвшөөрнө. Төхөөрөмж нь тодорхой үйлдлийг гүйцэтгэхийн тулд хоёрдогч баталгаажуулалтыг хүссэн ч гэсэн хорлонтой хүсэлт нь дагаж мөрдөхөд хангалттай болсны дараа ойролцоогоор зургаан секундын дараа судлаачид энгийн "тийм" командыг санал болгодог.
Ашиггүй ур чадвар
Судлаачид хортой бичлэгийг ухаалаг чанга яригчаар тоглуулахын тулд халдлагын хоёр стратегийг харуулсан.
Нэг тохиолдолд халдагчид чанга яригчийн Bluetooth-ийг холбох хүрээнд ухаалаг утас эсвэл зөөврийн компьютер хэрэгтэй болно. Энэ довтолгооны вектор нь чанга яригчтай эхэндээ ойр байхыг шаарддаг ч хосолсоны дараа халдагчид чанга яригчтай хүссэнээрээ холбогдох боломжтой бөгөөд энэ нь тэдэнд анхны хосолсоны дараа хүссэн үедээ бодит халдлага хийх эрх чөлөөг өгдөг.
Хоёр дахь алсын халдлагад халдагчид интернет радио станц ашиглан Echo-г ашиглан хортой командуудыг тоглуулах боломжтой. Судлаачид энэ арга нь зорилтот хэрэглэгчийг хууран мэхэлж, Alexa-ийн хортой ур чадварыг Echo-д татаж авах явдал гэдгийг тэмдэглэж байна.
Хүн бүр Alexa-г идэвхжүүлсэн төхөөрөмж дээр ажиллахын тулд тусгай эрх шаарддаггүй шинэ Alexa ур чадварыг үүсгэж, нийтлэх боломжтой. Гэсэн хэдий ч, Amazon илгээсэн бүх ур чадварыг Alexa ур чадварын дэлгүүрт шууд нэвтрүүлэхээс өмнө шалгасан гэж мэдэгджээ.
Ivanti-ийн Бүтээгдэхүүний ахлах менежер Тодд Шелл Lifewire-д цахим шуудангаар хэлэхдээ AvA халдлагын стратеги нь хакерууд эдгээр төхөөрөмжүүдийг анх нэвтрүүлж байх үед WiFi-ийн эмзэг байдлыг хэрхэн ашиглаж, Wi-Fi радиотой хөршүүдээр явж, утасгүй сүлжээнд нэвтэрч байсныг сануулж байна гэжээ. өгөгдмөл нууц үг ашиглан нэвтрэх цэгүүд (AP). Халдагчид AP-ыг эвдсэний дараа илүү дэлгэрэнгүй мэдээлэл авах эсвэл гадагш чиглэсэн дайралт хийх болно.
"Сүүлийн үеийн [AvA] халдлагын стратегийн миний харж байгаа хамгийн том ялгаа нь хакерууд хандалт авсны дараа тэд эзнийхээ хувийн мэдээллийг ашиглан маш их ажил хийхгүйгээр хурдан шуурхай ажиллагаа явуулах боломжтой" гэж Шелл хэлэв.
Schell AvA-ийн шинэ халдлагын стратегийн урт хугацааны нөлөө нь шинэчлэлтүүд хэр хурдан тархах, хүмүүс төхөөрөмжөө шинэчлэхэд хэр хугацаа шаардагдах, шинэчлэгдсэн бүтээгдэхүүн үйлдвэрээс хэзээ нийлүүлэгдэж эхлэх зэргээс шалтгаална гэж онцолжээ.
AvA-ийн нөлөөг илүү өргөн хүрээнд үнэлэхийн тулд судлаачид 18 хэрэглэгчтэй судалгааны бүлэгт судалгаа явуулсан нь судлаачдын нийтлэлдээ онцолсон AvA-ийн эсрэг ихэнх хязгаарлалтыг бараг ашигладаггүй болохыг харуулсан. практикт.
Шелл гайхсангүй. "Өдөр тутмын хэрэглэгч аюулгүй байдлын бүх асуудлын талаар урьдчилан боддоггүй бөгөөд ихэвчлэн зөвхөн функциональ байдалд анхаарлаа хандуулдаг."
