______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Исследователи заставили колонки Amazon Echo подслушивать пользователей

Довольно интересный способ компрометации колонок Amazon Echo продемонстрировали на конференции DEF CON сотрудники китайской компании Tencent. Фактически им удалось превратить колонки Echo в подслушивающие устройства. Так, физически модифицировав один «умный» гаджет, специалисты сумели заставить остальные колонки в той же сети шпионить за своими владельцами.

Специалисты рассказали, что использовали «множественные уязвимости, чтобы осуществить удаленную атаку на наиболее популярные “умные” колонки». В итоге гаджеты могут тайно подслушивать своих хозяев, а злоумышленники контролируют все, что «говорит» колонка и не только.

Осуществить такую атаку непросто и вряд ли можно ожидать массового применения такого подхода. Эксперты Tencent серьезно модифицировали свою версию Echo: сняли чип флэш-памяти, установили кастомную прошивку, а затем собрали все обратно и вернули колонку в сеть. Нужно заметить, что все эти манипуляции в среднем занимают лишь 15 минут.

Дело в том, что устройства Echo, находящиеся в одной сети Wi-Fi, могут сообщаться друг с другом, чем и воспользовались исследователи. В итоге модифицированное устройство не только получило возможность «слушать» аудио с других Echo, но и контролировать их, проигрывая произвольные звуки и так далее. Добиться такого эффекта удалось с помощью обращения к интерфейсу Alexa через сайт Amazon и эксплуатации ряда багов, включая URL redirection, даунгрейда HTTPS и XSS.

Несмотря на кажущуюся сложность и непрактичность, предложенный специалистами вектор атак, по сути, представляет собой вариацию на классическую тему evil made. Дело в том, что «умные» колонки со встроенными помощниками становятся все популярнее и их все чаще устанавливают не только дома, но и в общественных местах (школах, отелях, офисах компаний). Если злоумышленник сумеет получить доступ хотя бы к одной из колонок в такой сети и модифицировать ее, он сможет использовать вредоносную Echo, например, для слежки за конкретным сотрудником какой-то компании.

Впрочем, сообщается, что в настоящее время все обнаруженные экспертами Tencent проблемы уже были устранены.

 

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх