I ricercatori di sicurezza si sono trasformati in hacker questo mese per dimostrare come un oratore intelligente potrebbe essere trasformato in una spia. I ricercatori hanno portato la loro storia a DefCon 2018. Hanno detto di aver ottenuto l'intercettazione remota. Entrambi sono ricercatori del Tencent Blade Team. Le note della conferenza hanno descritto Wu HuiYu come un cacciatore di bug e hanno affermato che l'attenzione di Qian Wenxiang era sulla ricerca sulla sicurezza dei dispositivi IoT.

Nel frattempo, Cablato è stata fornita una descrizione del lavoro degli hacker. "Dopo diversi mesi di ricerca, rompiamo con successo Amazon Echo utilizzando più vulnerabilità nel sistema Amazon Echo, e [ottenere] intercettazioni remote, " leggere la descrizione.

Paolo Lilly, HotHardware , è stato uno dei tanti osservatori tecnologici che ha dato un'occhiata a quanto lontano sono arrivati ​​e cosa suggerisce. prima di tutto, dobbiamo chiarire cosa sono stati in grado di fare, prima di perdere il sonno sugli altoparlanti intelligenti.

Wu Huiyu e Qian Wenxiang hanno esplorato gli attacchi per compromettere un oratore considerato abbastanza sicuro.

Nessun osservatore, tuttavia, trovò il loro metodo banale. Non c'era bisogno di avvertire i dilettanti di non provarlo a casa come era il loro lavoro, bene, Oh per favore. Jon Fingas in Engadget :"Sembra nefasto, ma richiede più passaggi di quelli che sarebbero praticabili per la maggior parte degli intrusi."

Il loro attacco, disse HotHardware , "richiede l'acquisizione e la modifica fisica di un altoparlante Echo rimuovendo il chip flash incorporato in modo che gli hacker possano scrivervi il proprio firmware personalizzato, e poi saldandolo di nuovo in posizione." Inoltre, c'erano le condizioni. "L'eco modificato deve trovarsi sulla stessa rete Wi-Fi dell'altoparlante di destinazione, " ha detto Lilly.

Gli osservatori tecnologici hanno osservato che non c'era motivo di preoccuparsi che il loro metodo sarebbe stato utilizzato in natura. "Così com'è, " ha detto Jon Fingas in Engadget , "la probabilità di un attacco nel mondo reale era piccola. Un aspirante intercettatore dovrebbe sapere come smontare l'Eco, identificare (e connettersi a) una rete con altri Echo e concatenare più exploit."

Quanto a Eco, i ricercatori hanno presentato i loro risultati ad Amazon, che ha rilasciato correzioni per correggere le falle di sicurezza che hanno reso possibile questo tipo di attacco.

Quindi quali sono le lezioni apprese, poi, se Amazon ha già inviato le correzioni? Un pensiero persistente condiviso da diversi scrittori sull'incidente è che la presenza di altoparlanti intelligenti è molto nella linea di vista dei segugi della sicurezza preoccupati per il modo in cui gli altoparlanti si collegano ai dispositivi domestici intelligenti, e sistemi di sicurezza. Gli occhi sono altoparlanti intelligenti come un altro punto di ingresso per le persone con intenti criminali.

Ha scritto Lilly:"Ciò che dimostra l'attacco, però, è che gli hacker persistenti possono trovare modi per attaccare altoparlanti connessi a Internet come Echo, anche se i metodi richiedono molto lavoro."

Fingas:"Se c'è una preoccupazione più grande, è che questo dimostra in primo luogo che un exploit ficcanaso è possibile, non importa quanto improbabile possa essere."

Nelle note del loro intervento al DefCon, i due hanno affermato di aver cercato di presentare l'utilizzo di più vulnerabilità per ottenere un attacco remoto su alcuni altoparlanti intelligenti.

"I nostri effetti di attacco finale includono l'ascolto silenzioso, controllare il contenuto del discorso dell'oratore e altre dimostrazioni." Hanno menzionato i privilegi di root modificando il contenuto del firmware e ri-saldando i chip Flash. "Infine, riprodurremo diversi video dimostrativi per dimostrare come possiamo accedere in remoto ad alcuni permessi Smart Speaker Root e utilizzare altoparlanti intelligenti per intercettare e riprodurre la voce."

© 2018 Tech Xplore