Penyerang dapat memaksa Amazon Echos untuk meretas diri mereka sendiri dengan perintah yang dikeluarkan sendiri

Penyerang dapat memaksa Amazon Echos untuk meretas diri mereka sendiri dengan perintah yang dikeluarkan sendiri

ALEXA VS. ALEXA —

Perangkat “pintar” yang populer mengikuti perintah yang dikeluarkan oleh speakernya sendiri. Apa yang bisa salah?

Dan Goodin

Memperbesar /

Majalah T3/Getty Images

Peneliti akademis telah merancang eksploitasi kerja baru yang memerintahkan speaker pintar Amazon Echo dan memaksa mereka untuk membuka kunci pintu, melakukan panggilan telepon dan pembelian tidak sah, dan mengontrol tungku, oven microwave, dan peralatan pintar lainnya.

Serangan bekerja dengan menggunakan speaker perangkat untuk mengeluarkan perintah suara. Selama pidato berisi kata bangun perangkat (biasanya “Alexa” atau “Echo”) diikuti oleh perintah yang diizinkan, Echo akan melaksanakannya, peneliti dari Universitas Royal Holloway di London dan Universitas Catania Italia menemukan. Bahkan ketika perangkat memerlukan konfirmasi verbal sebelum menjalankan perintah sensitif, mengabaikan ukuran dengan menambahkan kata “ya” sekitar enam detik setelah mengeluarkan perintah adalah hal yang sepele. Penyerang juga dapat mengeksploitasi apa yang disebut peneliti sebagai “FVV,” atau kerentanan suara penuh, yang memungkinkan Echos membuat perintah yang dikeluarkan sendiri tanpa mengurangi volume perangkat untuk sementara. Alexa, retas dirimu sendiri

Karena peretasan menggunakan fungsionalitas Alexa untuk memaksa perangkat membuat perintah yang dikeluarkan sendiri, para peneliti menjulukinya “AvA,” kependekan dari Alexa vs. Alexa. Ini hanya membutuhkan beberapa detik kedekatan dengan perangkat yang rentan saat dihidupkan sehingga penyerang dapat mengucapkan perintah suara yang menginstruksikannya untuk memasangkan dengan perangkat berkemampuan Bluetooth penyerang. Selama perangkat tetap berada dalam jangkauan radio Echo, penyerang akan dapat mengeluarkan perintah. Serangan itu “adalah yang pertama mengeksploitasi kerentanan perintah sewenang-wenang yang dikeluarkan sendiri pada perangkat Echo, memungkinkan penyerang untuk mengontrolnya untuk waktu yang lama,” tulis para peneliti di makalah yang diterbitkan dua minggu lalu. “Dengan pekerjaan ini, kami menghilangkan keharusan memiliki speaker eksternal di dekat perangkat target, meningkatkan kemungkinan serangan secara keseluruhan.” Variasi serangan menggunakan stasiun radio berbahaya untuk menghasilkan perintah yang dikeluarkan sendiri. Serangan itu tidak mungkin lagi seperti yang ditunjukkan di makalah setelah patch keamanan yang dirilis oleh pembuat Echo Amazon sebagai tanggapan atas penelitian tersebut. Para peneliti telah mengkonfirmasi bahwa serangan tersebut bekerja terhadap perangkat Echo Dot generasi ke-3 dan ke-4. A group of Amazon Echo smart speakers, including Echo Studio, Echo, and Echo Dot models. (Photo by Neil Godwin/Future Publishing via Getty Images)

Esposito dkk.

AvA dimulai ketika perangkat Echo yang rentan terhubung melalui Bluetooth ke perangkat penyerang (dan untuk Echo yang tidak ditambal, saat mereka memutar stasiun radio berbahaya). Sejak saat itu, penyerang dapat menggunakan aplikasi text-to-speech atau cara lain untuk mengalirkan perintah suara. Berikut video aksi AvA. Semua variasi serangan tetap bertahan, kecuali yang ditampilkan antara 1:40 dan 2:14:

    Alexa versus Alexa – Demo.

    Para peneliti menemukan bahwa mereka dapat menggunakan AvA untuk memaksa perangkat menjalankan sejumlah perintah, banyak dengan konsekuensi privasi atau keamanan yang serius. Kemungkinan tindakan jahat termasuk:

  • Mengontrol peralatan pintar lainnya, seperti mematikan lampu, menyalakan oven microwave pintar, menyetel pemanas ke suhu yang tidak aman, atau membuka kunci pintu pintar. Seperti disebutkan sebelumnya, ketika Echos memerlukan konfirmasi, musuh hanya perlu menambahkan “ya” ke perintah sekitar enam detik setelah permintaan.
  • Hubungi nomor telepon apa pun , termasuk yang dikendalikan oleh penyerang, sehingga memungkinkan untuk menguping suara di sekitar. Sementara Echos menggunakan lampu untuk menunjukkan bahwa mereka sedang melakukan panggilan, perangkat tidak selalu terlihat oleh pengguna, dan pengguna yang kurang berpengalaman mungkin tidak tahu apa arti lampu tersebut.
  • Melakukan pembelian tidak sah menggunakan akun Amazon korban. Meskipun Amazon akan mengirimkan email yang memberi tahu korban tentang pembelian tersebut, email tersebut mungkin terlewatkan atau pengguna dapat kehilangan kepercayaan pada Amazon. Atau, penyerang juga dapat menghapus item yang sudah ada di keranjang belanja akun.
  • Merusak kalender pengguna yang sebelumnya ditautkan untuk menambah, memindahkan, menghapus, atau mengubah acara.
  • Meniru keterampilan atau memulai keterampilan apa pun pilihan penyerang. Ini, pada gilirannya, dapat memungkinkan penyerang untuk mendapatkan kata sandi dan data pribadi.
  • Ambil semua ucapan yang dibuat oleh korban. Dengan menggunakan apa yang disebut para peneliti sebagai “serangan topeng”, musuh dapat mencegat perintah dan menyimpannya dalam database. Ini dapat memungkinkan musuh untuk mengekstrak data pribadi, mengumpulkan informasi tentang keterampilan yang digunakan, dan menyimpulkan kebiasaan pengguna.
    • Para peneliti menulis:

    Dengan tes ini, kami menunjukkan bahwa AvA dapat digunakan untuk memberikan perintah arbitrer dalam jenis dan panjang apa pun, dengan hasil yang optimal—khususnya, penyerang dapat mengontrol lampu pintar dengan tingkat keberhasilan 93%, berhasil membeli item yang tidak diinginkan di Amazon sebanyak 100%, dan merusak kalender tertaut dengan tingkat keberhasilan 88%. Perintah kompleks yang harus dikenali dengan benar secara keseluruhan agar berhasil, seperti memanggil nomor telepon, memiliki tingkat keberhasilan yang hampir optimal, dalam hal ini 73%. Selain itu, hasil yang ditunjukkan pada Tabel 7 menunjukkan penyerang dapat berhasil mengatur Serangan Penyamaran Suara melalui keterampilan Serangan Topeng kami tanpa terdeteksi, dan semua ucapan yang dikeluarkan dapat diambil dan disimpan dalam basis data penyerang, yaitu 41 dalam kasus kami.

    Halaman: 1 2

    Selanjutnya

    Rekomendasi:

    • Pengontrol Cerdas Linxura – Pengontrol Rumah Pintar Portabel Saat ini, teknologi Smart Home menjadi semakin populer. Oleh karena itu, semakin banyak pemilik rumah yang mulai mengintegrasikan beberapa perangkat rumah pintar ke dalam rumah tangga mereka, seperti robot pembersih…
    • Amazon Mengonfirmasi 'The Wheel Of Time'… Roda Waktu Amazon The Wheel of Time mengakhiri musim pertamanya hari ini, dan jangan khawatir, season 2 sudah lama diberi lampu hijau, jadi akan kembali untuk terus mengadaptasi buku-buku Robert…
    • Abode Wireless Video Bel (ULASAN LENGKAP) Jika Anda ingin meningkatkan tingkat keamanan di rumah Anda, salah satu cara terbaik untuk melakukannya adalah dengan membeli bel pintu video pintar. Dengan fokus pada pengawasan dan komunikasi, perangkat rumah…
    • Pengadilan Inggris Memerintahkan Penguasa Dubai… Topline Penguasa Dubai, Sheikh Mohammed bin Rashid al-Maktoum, diperintahkan untuk membayar mantan istrinya Putri Haya binti al-Hussein dan dua anak mereka lebih dari £554 juta ($733 juta) oleh pengadilan Inggris…
    • TV mini-LED LG QNED, soundbar Dolby Atmos melihat… TV OLED 2022 LG mungkin mendapatkan bagian terbesar dari buzz CES 2022, tetapi setelah melihat TV mini-LED QNED 2022 perusahaan yang baru beraksi, saya yakin mereka mungkin salah satu dari…
    • BOTE MAGNEBoom Speaker Bluetooth Tahan Air Jika Anda menikmati mendengarkan musik setiap hari, maka salah satu perangkat terbaik yang bisa Anda dapatkan sendiri adalah speaker Bluetooth portabel. Saat ini, speaker nirkabel ini menawarkan salah satu cara…
    • Ecozy RV-SG250B – Robot Vacuum dan Mop dengan Smart… Menjaga kebersihan lantai, karpet, dan tangga di rumah Anda tidak harus menjadi kerja keras. Sementara membersihkan permukaan lain seperti di atas dan di bawah meja dapur, serta membersihkan rak dan…
    • Speaker dan layar pintar Nest diskon hingga 50… Dunia aksesori rumah pintar tumbuh setiap tahun, dengan ide baru sesekali dan iterasi terbaru pada bahan pokok andalan. Segmen ini juga memanas di sekitar musim belanja liburan dan Black Friday…
    • Hanya penawaran teknologi Black Friday terbaik,… Lupakan akhir pekan, penawaran Black Friday sudah keluar, dan dengan itu, kickstart resmi musim belanja liburan. Ada banyak sekali penawaran tetapi mereka tidak semuanya bagus, jadi kami melakukan semua kerja…
    • Smarty Pear Leo's Loo Too - Kotak kotoran kucing… Kucing bisa menjadi sahabat yang sangat hangat dan ramah. Namun, memiliki kucing tidak datang tanpa tanggung jawab yang adil. Pertama, memberi makan kucing Anda dan mengganti mangkuk airnya setiap hari.…
    • Amazon akan membuat 1.500 magang di Inggris pada tahun 2022 Ascannio - stock.adobe.com Raksasa ritel Amazon akan mencari lebih dari 1.000 magang Inggris tahun ini, menambah ribuan karyawan baru itu dibuat pada tahun 2021 Oleh Clare McDonald, Editor Bisnis Diterbitkan:…
    • Cara menggunakan ponsel Anda dengan aman 3 April adalah Hari Ponsel Internasional karena panggilan telepon seluler pertama dilakukan pada tanggal tersebut pada tahun 1973. Tujuan awal ponsel adalah untuk meningkatkan mobilitas komunikasi. Teknologi modern telah jauh…
    • Ribuan pelanggan AT&T di AS terinfeksi oleh malware… BELAKANG! — Malware mengeksploitasi kerentanan 2017 di perangkat tepi jaringan yang banyak digunakan. Dan Goodin - 1 Des 2021 13:24 UTC Getty ImagesRibuan perangkat jaringan milik pelanggan Internet AT&T di…
    • Semua penawaran Black Friday 2021 terbaik yang dapat… Dealmaster — Kami telah memotong kebisingan Black Friday untuk menemukan penawaran yang sepadan dengan waktu Anda. Jeff Dunn - 26 November 2021 5:38 pagi UTC Perbesar / Sampel dari penawaran…
    • Cyber ​​​​Acoustics CA-2890BT – Bilah speaker USB &… Bagi sebagian besar pekerja bisnis, komputer desktop mungkin merupakan alat kerja terpenting di ruang kantor mereka yang mereka gunakan setiap hari. Sekarang, karena sebagian besar perusahaan di seluruh dunia mengandalkan…
    • Apa yang terjadi dengan kesepakatan Amazon dengan Rivian? Ketika Amazon mengumumkan akan membeli 100.000 van pengiriman listrik dari Rivian pada 2019, itu memberikan kredibilitas langsung kepada startup kendaraan listrik (EV) yang kurang dikenal itu. Sekarang Amazon memberi investor…
    • Ilhan Omar Menyebut Pembicara McCarthy… Topline Rep. Ilhan Omar (D-Minn.) mengatakan Pemimpin Minoritas DPR Kevin McCarthy adalah “pembohong dan pengecut” karena menolak untuk mengutuk komentar anti-Muslim Rep. Lauren Boebert (R-Colo.) yang membandingkan Omar dengan teroris,…
    • Perangkat Shelly – Perangkat IoT berkemampuan Wi-Fi… Bagi pemilik rumah yang mencari cara untuk meningkatkan kualitas hidup mereka di rumah, salah satu solusi terbaik yang tersedia saat ini adalah perangkat IoT. Perangkat ini pada dasarnya terdiri dari…
    • CARRAT meluncurkan gelang pintar pertama yang… Dibuat di Jenewa, Swiss, CARRAT baru saja merilis koleksi gelang pengamannya yang baru dan memiliki satu tujuan: Membuat Anda tetap aman! Lahir dari akumulasi banyak pengalaman negatif seputar keselamatan pribadi.…
    • Cozyla Album Bingkai Foto Digital Cerdas (10,1 inci… Saat ini, salah satu cara terbaik untuk menampilkan foto atau video yang Anda ambil/ambil dengan smartphone atau kamera digital adalah dengan bingkai foto digital. Menggunakan bingkai foto digital, Anda dapat…
    • Atomi Smart AT1680 – Lampu LED sconce dinding luar… Pintu masuk ke rumah kami adalah salah satu bagian terpenting dari rumah kami, karena secara harfiah pintu masuk ke ruang hidup pribadi dan unik kami. Inilah sebabnya mengapa semua pemilik…
    • Polisi Kanada Membersihkan Para Demonstran Dari… Topline Sebagian besar demonstran pergi dengan damai Sabtu pagi dari Jembatan Duta Besar, tetapi polisi Kanada berhadapan dengan segelintir yang terus memblokir penyeberangan perbatasan yang menghubungkan AS dan Kanada sebagai…
    • Penawaran Black Friday 2021 di bawah $25:… Cerita ini adalah bagian dari Panduan Hadiah Liburan 2021, daftar ide kami, berdasarkan topik, berdasarkan penerima, dan berdasarkan harga, untuk membantu Anda menemukan hadiah yang sempurna. Black Friday sekarang secara…
    • 'Vaksin' terhadap kerentanan Log4Shell… 11 Desember 2021 17:50 Kredit Gambar: Getty Images Dengarkan dari CIO, CTO , dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of Work Summit…
    • SmartWings Blinds – Tirai / Tirai Bermotor Pintar Kustom Saat ini, ada banyak gadget rumah pintar yang berbeda yang didukung oleh teknologi Rumah Pintar yang pada akhirnya memungkinkan pemilik rumah untuk mengotomatiskan berbagai elemen di rumah mereka. Meskipun perangkat…
    • AirPods Pro Apple kembali turun menjadi $180 di Amazon Semua produk yang direkomendasikan oleh Engadget dipilih oleh tim editorial kami, terlepas dari perusahaan induk kami. Beberapa cerita kami menyertakan tautan afiliasi. Jika Anda membeli sesuatu melalui salah satu tautan…
    • Lampu outdoor permanen Govee RGBIC LED - lampu… Salah satu cara yang sangat keren untuk merayakan acara-acara khusus seperti hari libur nasional dan internasional, serta ulang tahun, serta waktu perayaan yang berbeda dalam setahun, adalah dengan mendekorasi rumah…
    • Cara meningkatkan kecepatan internet Anda Tidak ada yang lebih membuat frustrasi daripada internet Anda bergerak dengan kecepatan siput. Laman web membutuhkan waktu lama untuk dimuat, dan game serta layanan streaming mengalami kelambatan. Dengan semakin seringnya…
    • The Rundown: Amazon berjinjit untuk membangun merek… 1 November 2021 oleh Max Willens Amazon telah melakukan dua akuisisi podcast besar dalam 12 bulan terakhir, tetapi Amazon mengambil langkah tentatif untuk membangun merek untuk dirinya sendiri sebagai produser…
    • Frontpoint vs. SimpliSafe: Mana yang terbaik untuk Anda? Keamanan rumah adalah bisnis besar di seluruh dunia — sebagaimana mestinya. Setiap orang harus memiliki pilihan untuk merasa aman dan tenteram saat berada di rumah mereka sendiri, dan ada banyak…
    Designed by SuaraSekitar Terkini
    © Copyright 2024, All Rights Reserved