Penyerang dapat memaksa Amazon Echos untuk meretas diri mereka sendiri dengan perintah yang dikeluarkan sendiri

Penyerang dapat memaksa Amazon Echos untuk meretas diri mereka sendiri dengan perintah yang dikeluarkan sendiri

ALEXA VS. ALEXA —

Perangkat “pintar” yang populer mengikuti perintah yang dikeluarkan oleh speakernya sendiri. Apa yang bisa salah?

Dan Goodin

Memperbesar /

Majalah T3/Getty Images

Peneliti akademis telah merancang eksploitasi kerja baru yang memerintahkan speaker pintar Amazon Echo dan memaksa mereka untuk membuka kunci pintu, melakukan panggilan telepon dan pembelian tidak sah, dan mengontrol tungku, oven microwave, dan peralatan pintar lainnya.

Serangan bekerja dengan menggunakan speaker perangkat untuk mengeluarkan perintah suara. Selama pidato berisi kata bangun perangkat (biasanya “Alexa” atau “Echo”) diikuti oleh perintah yang diizinkan, Echo akan melaksanakannya, peneliti dari Universitas Royal Holloway di London dan Universitas Catania Italia menemukan. Bahkan ketika perangkat memerlukan konfirmasi verbal sebelum menjalankan perintah sensitif, mengabaikan ukuran dengan menambahkan kata “ya” sekitar enam detik setelah mengeluarkan perintah adalah hal yang sepele. Penyerang juga dapat mengeksploitasi apa yang disebut peneliti sebagai “FVV,” atau kerentanan suara penuh, yang memungkinkan Echos membuat perintah yang dikeluarkan sendiri tanpa mengurangi volume perangkat untuk sementara. Alexa, retas dirimu sendiri

Karena peretasan menggunakan fungsionalitas Alexa untuk memaksa perangkat membuat perintah yang dikeluarkan sendiri, para peneliti menjulukinya “AvA,” kependekan dari Alexa vs. Alexa. Ini hanya membutuhkan beberapa detik kedekatan dengan perangkat yang rentan saat dihidupkan sehingga penyerang dapat mengucapkan perintah suara yang menginstruksikannya untuk memasangkan dengan perangkat berkemampuan Bluetooth penyerang. Selama perangkat tetap berada dalam jangkauan radio Echo, penyerang akan dapat mengeluarkan perintah. Serangan itu “adalah yang pertama mengeksploitasi kerentanan perintah sewenang-wenang yang dikeluarkan sendiri pada perangkat Echo, memungkinkan penyerang untuk mengontrolnya untuk waktu yang lama,” tulis para peneliti di makalah yang diterbitkan dua minggu lalu. “Dengan pekerjaan ini, kami menghilangkan keharusan memiliki speaker eksternal di dekat perangkat target, meningkatkan kemungkinan serangan secara keseluruhan.” Variasi serangan menggunakan stasiun radio berbahaya untuk menghasilkan perintah yang dikeluarkan sendiri. Serangan itu tidak mungkin lagi seperti yang ditunjukkan di makalah setelah patch keamanan yang dirilis oleh pembuat Echo Amazon sebagai tanggapan atas penelitian tersebut. Para peneliti telah mengkonfirmasi bahwa serangan tersebut bekerja terhadap perangkat Echo Dot generasi ke-3 dan ke-4. A group of Amazon Echo smart speakers, including Echo Studio, Echo, and Echo Dot models. (Photo by Neil Godwin/Future Publishing via Getty Images)

Esposito dkk.

AvA dimulai ketika perangkat Echo yang rentan terhubung melalui Bluetooth ke perangkat penyerang (dan untuk Echo yang tidak ditambal, Pengusaha perangkat lunak). Sejak saat itu, penyerang dapat menggunakan aplikasi text-to-speech atau cara lain untuk mengalirkan perintah suara. Berikut video aksi AvA. Semua variasi serangan tetap bertahan, kecuali yang ditampilkan antara 1:40 dan 2:14:

    Alexa versus Alexa – Demo.

    Para peneliti menemukan bahwa mereka dapat menggunakan AvA untuk memaksa perangkat menjalankan sejumlah perintah, banyak dengan konsekuensi privasi atau keamanan yang serius. Kemungkinan tindakan jahat termasuk:

  • Mengontrol peralatan pintar lainnya, seperti mematikan lampu, menyalakan oven microwave pintar, menyetel pemanas ke suhu yang tidak aman, atau membuka kunci pintu pintar. Seperti disebutkan sebelumnya, ketika Echos memerlukan konfirmasi, musuh hanya perlu menambahkan “ya” ke perintah sekitar enam detik setelah permintaan.
  • Hubungi nomor telepon apa pun , termasuk yang dikendalikan oleh penyerang, sehingga memungkinkan untuk menguping suara di sekitar. Sementara Echos menggunakan lampu untuk menunjukkan bahwa mereka sedang melakukan panggilan, perangkat tidak selalu terlihat oleh pengguna, dan pengguna yang kurang berpengalaman mungkin tidak tahu apa arti lampu tersebut.
  • Melakukan pembelian tidak sah menggunakan akun Amazon korban. Meskipun Amazon akan mengirimkan email yang memberi tahu korban tentang pembelian tersebut, email tersebut mungkin terlewatkan atau pengguna dapat kehilangan kepercayaan pada Amazon. Atau, penyerang juga dapat menghapus item yang sudah ada di keranjang belanja akun.
  • Merusak kalender pengguna yang sebelumnya ditautkan untuk menambah, memindahkan, menghapus, atau mengubah acara.
  • Meniru keterampilan atau memulai keterampilan apa pun pilihan penyerang. Ini, pada gilirannya, dapat memungkinkan penyerang untuk mendapatkan kata sandi dan data pribadi.
  • Ambil semua ucapan yang dibuat oleh korban. Dengan menggunakan apa yang disebut para peneliti sebagai “serangan topeng”, musuh dapat mencegat perintah dan menyimpannya dalam database. Ini dapat memungkinkan musuh untuk mengekstrak data pribadi, mengumpulkan informasi tentang keterampilan yang digunakan, dan menyimpulkan kebiasaan pengguna.
    • Para peneliti menulis:

    Dengan tes ini, kami menunjukkan bahwa AvA dapat digunakan untuk memberikan perintah arbitrer dalam jenis dan panjang apa pun, dengan hasil yang optimal—khususnya, penyerang dapat mengontrol lampu pintar dengan tingkat keberhasilan 93%, berhasil membeli item yang tidak diinginkan di Amazon sebanyak 100%, dan merusak kalender tertaut dengan tingkat keberhasilan 88%. Perintah kompleks yang harus dikenali dengan benar secara keseluruhan agar berhasil, seperti memanggil nomor telepon, memiliki tingkat keberhasilan yang hampir optimal, dalam hal ini 73%. Selain itu, hasil yang ditunjukkan pada Tabel 7 menunjukkan penyerang dapat berhasil mengatur Serangan Penyamaran Suara melalui keterampilan Serangan Topeng kami tanpa terdeteksi, dan semua ucapan yang dikeluarkan dapat diambil dan disimpan dalam basis data penyerang, yaitu 41 dalam kasus kami.

    Halaman: 1 2

    Selanjutnya

    Rekomendasi:

    • Kesepakatan TikTok-Oracle akan menetapkan dua… Sam Whitney | Getty ImagesPada bulan Agustus 2020, Presiden Donald Trump menjatuhkan bom perintah eksekutif yang melarang TikTok di Amerika Serikat. Sejak saat itu, saat TikTok bersaing dengan perusahaan Teknologi…
    • Semua penawaran Black Friday 2021 terbaik yang dapat… Dealmaster — Kami telah memotong kebisingan Black Friday untuk menemukan penawaran yang sepadan dengan waktu Anda. Jeff Dunn - 26 November 2021 5:38 pagi UTC Perbesar / Sampel dari penawaran…
    • Masa depan teknologi pintar Munculnya kecerdasan buatan (AI) telah mengantarkan era baru inovasi teknologi, mengubah perangkat sehari-hari menjadi pendamping cerdas yang dapat beradaptasi, belajar, dan meningkatkan kehidupan kita. Gadget bertenaga AI telah menjadi bagian…
    • Toko Go tanpa kasir Amazon akan hadir di pinggiran kota Anda mungkin tidak perlu pergi ke pusat kota (atau ke toko grosir) untuk mengunjungi toko Amazon Go. USA Today melaporkan Amazon berencana untuk membuka versi baru dari toko tanpa kasir…
    • Harga Samsung Galaxy Watch 4 Black Friday turun menjadi $200 Jika Anda mencari penawaran Samsung Galaxy Watch 4 Black Friday sehingga Anda dapat menikmati penghematan saat membeli jam tangan pintar terbaru Samsung, kabar baiknya adalah kami mendukung Anda. Penawaran Black…
    • Petcube Bites 2 Lite – Kamera hewan peliharaan HD… Meninggalkan hewan peliharaan Anda sendirian di rumah adalah sesuatu yang selalu sulit dilakukan, dan sebenarnya bisa sangat memilukan. Selain itu, setiap kali Anda harus meninggalkan hewan peliharaan Anda di rumah,…
    • iLive Indoor/Outdoor Dual Bluetooth Speaker dengan… Gadget berikutnya ini untuk mereka yang tidak bisa hidup tanpa musik. Jika Anda adalah seseorang yang senang mendengarkan musik setiap hari, maka salah satu gadget terbaik yang bisa Anda dapatkan…
    • Smartwatch Android Terbaru untuk Pemilik Usaha Kecil Jika Anda membeli sesuatu melalui tautan kami, kami dapat memperoleh uang dari mitra afiliasi kami. 11 Negara Menuntut. Lewatlah sudah hari-hari ketika pelacakan kebugaran hanya dilakukan oleh para atlet. Saat…
    • Penawaran terbaik akhir pekan: kartu hadiah Nintendo… Dealmaster — Dealmaster juga memiliki CPU AMD Ryzen, Fully standing desk, dan Google Nest Hub Max. Staf Ars - 5 Mar 2022 17:17 UTCArs Technica Ini akhir pekan, yang berarti…
    • Speaker Bluetooth LDAC dan aptX HD pertama di dunia… Beranda BeritaAudio Visual (Kredit gambar: Astell&Kern) Sementara Audio Hi-Res streaming penuh melalui Bluetooth masih jauh, pakar audio Astell&Kern mengklaim bahwa itu membuat speaker Bluetooth pertama di dunia yang mendukung kode…
    • Tivoli Audio Model One Digital Generasi 2 – Radio… Jika Anda adalah seseorang yang suka mendengarkan musik setiap hari, maka radio digital pintar tidak diragukan lagi adalah salah satu perangkat terbaik yang bisa Anda dapatkan untuk rumah Anda. Pada…
    • AWS vs Amazon: Pendapatan raksasa cloud meningkat… AWS menutup tahun keuangannya dengan seperempat pertumbuhan pendapatan yang kuat, sementara perusahaan induknya, Amazon.com, melaporkan kinerja yang lebih suram Oleh Caroline Donnelly, Editor Senior, Inggris Diterbitkan: 04 Feb 2022 10:00…
    • Speaker dan layar pintar Nest diskon hingga 50… Dunia aksesori rumah pintar tumbuh setiap tahun, dengan ide baru sesekali dan iterasi terbaru pada bahan pokok andalan. Segmen ini juga memanas di sekitar musim belanja liburan dan Black Friday…
    • Bagaimana menjaga rumah pintar Anda tetap aman dan… Konsep rumah pintar menjadi semakin lazim dalam beberapa tahun terakhir, dan perangkat rumah pintar dapat menawarkan kenyamanan dan membuat segalanya menjadi lebih sederhana. Gadget seperti kamera pintar dan bel pintu…
    • OKP L1 – Penyedot debu robot yang dapat diisi ulang… Dalam hal menjaga rumah Anda tetap bersih berkilau, kita semua tahu betapa membersihkan seluruh rumah bisa memakan energi dan waktu. Saat itulah robot penyedot debu pintar berguna. Dibandingkan menghabiskan waktu…
    • Penawaran teknologi Black Friday terbaik 2021 Saatnya tahun lagi. Penawaran Black Friday telah diluncurkan sejak awal bulan, tetapi sekarang aksi penjualan benar-benar meningkat. Seperti yang kita semua dengar, tahun ini bukan musim belanja biasa, dengan cadangan…
    • 8 perangkat rumah pintar baru muncul pada tahun 2022 Smartphone, jam tangan pintar, sekolah pintar, rumah pintar. Daftar ini dapat diperluas. Era modern menawarkan banyak kesempatan untuk membuat hidup kita lebih mudah, lebih cerdas, dan bebas stres. Tetapi jika…
    • Panduan Membeli Tablet 2021: Bentuk Komputasi yang… Seperti PC dan produk teknologi lainnya akhir-akhir ini, tablet telah melihat kebangkitan dan permintaan telah mencapai tingkat rekor baru. Tidak hanya tablet yang lebih bertenaga saat ini, tetapi tampilannya juga…
    • Temukan jawaban terbaru dengan teknologi AI Rabbit R1 Pernahkah Anda merasa terjebak oleh kebutuhan yang tak ada habisnya untuk beralih antar aplikasi jawaban? Kabar baik: Itu Kelinci R1 merevolusi hal itu dengan AI mutakhir dari Perplexity. Postingan blog…
    • Laporan: Microsoft HoloLens 3 mati karena visi… IDG Microsoft dilaporkan telah membatalkan HoloLens generasi ketiganya, membuat rencana "metaverse" perusahaan berantakan. Menurut laporan dari Business Insider, Microsoft membunuh HoloLens 3 pada tahun 2021, beralih ke perangkat yang direncanakan…
    • Amazon sekarang memberikan lebih banyak paket AS… Pada tahun 2014, Amazon mengirimkan sekitar 0,2% dari semua paket AS. Saat ini, Amazon menguasai seperlima pasar pengiriman, dan berada di jalur yang tepat untuk menyalip UPS dan bahkan Layanan…
    • Web3 Akan Menulis Ulang Strategi E-niaga Anda Transaksi NFT / Web3 akan menjadi hal biasa di etalase eCommerce dalam waktu kurang dari 5 tahun.Pelanggan akan dengan mulus membeli produk dari toko web melalui aplikasi terdistribusi yang diaktifkan…
    • Soundbar Komputer Terbaik untuk PC atau Mac Anda Jika Anda membeli sesuatu melalui tautan kami, kami dapat memperoleh uang dari mitra afiliasi kami. Pelajari lebih lanjut.Jika Anda muak dengan speaker komputer internal dan tidak memiliki ruang untuk pengaturan…
    • CARRAT meluncurkan gelang pintar pertama yang… Dibuat di Jenewa, Swiss, CARRAT baru saja merilis koleksi gelang pengamannya yang baru dan memiliki satu tujuan: Membuat Anda tetap aman! Lahir dari akumulasi banyak pengalaman negatif seputar keselamatan pribadi.…
    • Cara meningkatkan kecepatan internet Anda Tidak ada yang lebih membuat frustrasi daripada internet Anda bergerak dengan kecepatan siput. Laman web membutuhkan waktu lama untuk dimuat, dan game serta layanan streaming mengalami kelambatan. Dengan semakin seringnya…
    • Trump Dilaporkan Memainkan Peran Langsung Dalam… Topline Beberapa minggu setelah hari pemilihan, mantan Presiden Donald Trump dilaporkan memerintahkan pengacaranya Rudy Giuliani untuk bertanya kepada Departemen Keamanan Dalam Negeri (DHS) apakah itu dapat secara legal merebut mesin…
    • Perangkat hemat energi terbaik untuk digunakan Seperti semua orang tahu, saat ini listrik adalah faktor kunci dalam kehidupan kita sehari-hari. Hal ini semata-mata karena di dunia digital dan industri saat ini, tidak terpikirkan untuk tidak memiliki…
    • Spanyol Menekan Periklanan Crypto Dengan Perintah… Kami mendeteksi aktivitas yang tidak biasa dari jaringan komputer Anda Untuk melanjutkan, Bagaimana Shopify Mengalahkan di bawah untuk memberi tahu kami bahwa Anda bukan robot. Baca selengkapnya
    • Amazon Mengonfirmasi 'The Wheel Of Time'… Roda Waktu Amazon The Wheel of Time mengakhiri musim pertamanya hari ini, dan jangan khawatir, season 2 sudah lama diberi lampu hijau, jadi akan kembali untuk terus mengadaptasi buku-buku Robert…
    • FBI Diberi Kekuatan Untuk Membuka Telepon Tersangka… Penyelidik huru hara Capitol Hill telah dua kali mendapatkan kekuatan untuk memaksa tersangka membuka perangkat pribadi mereka dengan jari atau wajah mereka. (foto oleh Brent Stirton/Getty Images) Getty Images 6…
    Designed by SuaraSekitar Terkini
    © Copyright 2025, All Rights Reserved