Key takeaways
- Forskare har lyckats lura några Echo-smarthögtalare att spela upp ljudfiler spetsade med skadliga instruktioner.
- Enheterna tolkar instruktionerna som kommandon från riktiga användare, vilket gör att hackare kan ta kontroll.
- Hackare kan sedan använda de hackade högtalarna för att ta över andra smarta enheter och till och med avlyssna användarna.
I bråttom att fodra sina hem med smarta enheter ignorerar många användare säkerhetsriskerna med smarta högtalare, varnar säkerhetsexperter.
Ett exempel är den nyligen korrigerade sårbarheten i vissa Amazon Echo-enheter, som forskare från University of London och University of Catania, Italien, kunde utnyttja och använda för att beväpna dessa smarta högtalare för att hacka sig själva.
"Vår attack, Alexa versus Alexa (AvA), är den första som utnyttjar sårbarheten i att självutge godtyckliga kommandon på Echo-enheter", noterade forskarna. "Vi har verifierat att angripare via AvA kan kontrollera smarta apparater i hushållet, köpa oönskade föremål, manipulera länkade kalendrar och avlyssna användaren."
Friendly Fire
I sin uppsats visar forskarna processen att äventyra de smarta högtalarna genom att få dem att spela upp ljudfiler. När de kompromettats kunde enheterna väcka sig själva och börja utföra kommandon som utfärdats av fjärrangriparen. Forskarna visar hur angripare kan manipulera applikationer som laddats ner på den hackade enheten, ringa telefonsamtal, lägga beställningar på Amazon och mer.
Forskarna testade attackmekanismen framgångsrikt på både tredje och fjärde generationens Echo Dot-enheter.
Intressant nog är detta hack inte beroende av oseriösa högtalare, vilket ytterligare minskar komplexiteten i attacken. Dessutom noterar forskarna att exploateringsprocessen är ganska enkel.
AvA startar när Echo-enheten börjar strömma en ljudfil som innehåller röstkommandon som lurar högtalarna att acceptera dem som vanliga kommandon från en användare. Även om enheten ber om en sekundär bekräftelse för att utföra en viss åtgärd, föreslår forskarna ett enkelt "ja"-kommando ungefär sex sekunder efter att den skadliga begäran räcker för att upprätthålla efterlevnad.
Useless Skill
Forskarna visar två attackstrategier för att få de smarta högtalarna att spela upp den skadliga inspelningen.
I det ena skulle angriparen behöva en smartphone eller bärbar dator inom högtalarnas Bluetooth-parningsräckvidd. Även om den här attackvektorn kräver närhet till högtalarna initi alt, kan angriparna när de är ihopkopplade ansluta till högtalarna efter behag, vilket ger dem friheten att utföra själva attacken när som helst efter den första parningen.
I den andra, helt avlägsna attacken, kan angriparna använda en internetradiostation för att få Echo att spela de skadliga kommandona. Forskarna noterar att den här metoden innebär att den riktade användaren luras att ladda ner en skadlig Alexa-färdighet till Echo.
Vem som helst kan skapa och publicera en ny Alexa-färdighet, som inte behöver speciella privilegier för att köras på en Alexa-aktiverad enhet. Amazon säger dock att alla inlämnade färdigheter granskas innan de går live i Alexa skills store.
Todd Schell, Senior Product Manager på Ivanti, sa till Lifewire via e-post att AvA-attackstrategin påminner honom om hur hackare skulle utnyttja WiFi-sårbarheter när dessa enheter först introducerades, köra runt i stadsdelar med en WiFi-radio för att bryta sig in i trådlöst åtkomstpunkter (AP) med standardlösenord. Efter att ha kompromissat med en AP, skulle angriparna antingen leta runt efter mer detaljer eller bara utföra utåtriktade attacker.
"Den största skillnaden jag ser med den här senaste [AvA]-attackstrategin är att efter att hackarna har fått åtkomst kan de snabbt utföra operationer med ägarens personliga information utan mycket arbete", sa Schell.
Schell påpekar att den långsiktiga effekten av AvAs nya attackstrategi kommer att bero på hur snabbt uppdateringar kan distribueras, hur lång tid det tar för människor att uppdatera sina enheter och när de uppdaterade produkterna börjar skickas från fabriken.
För att bedöma effekten av AvA i en större skala, genomförde forskarna en undersökning på en studiegrupp med 18 användare, som visade att de flesta av begränsningarna mot AvA, som forskarna lyfte fram i deras uppsats, knappast används i praktiken.
Schell är inte förvånad. "Den dagliga konsumenten tänker inte på alla säkerhetsproblem i förväg och fokuserar vanligtvis uteslutande på funktionalitet."