Penyerang dapat memaksa Amazon Echos untuk meretas diri mereka sendiri dengan perintah yang dikeluarkan sendiri

Penyerang dapat memaksa Amazon Echos untuk meretas diri mereka sendiri dengan perintah yang dikeluarkan sendiri

ALEXA VS. ALEXA —

Perangkat “pintar” yang populer mengikuti perintah yang dikeluarkan oleh speakernya sendiri. Apa yang bisa salah?

Dan Goodin

Memperbesar /

Majalah T3/Getty Images

Peneliti akademis telah merancang eksploitasi kerja baru yang memerintahkan speaker pintar Amazon Echo dan memaksa mereka untuk membuka kunci pintu, melakukan panggilan telepon dan pembelian tidak sah, dan mengontrol tungku, oven microwave, dan peralatan pintar lainnya.

Serangan bekerja dengan menggunakan speaker perangkat untuk mengeluarkan perintah suara. Selama pidato berisi kata bangun perangkat (biasanya “Alexa” atau “Echo”) diikuti oleh perintah yang diizinkan, Echo akan melaksanakannya, peneliti dari Universitas Royal Holloway di London dan Universitas Catania Italia menemukan. Bahkan ketika perangkat memerlukan konfirmasi verbal sebelum menjalankan perintah sensitif, mengabaikan ukuran dengan menambahkan kata “ya” sekitar enam detik setelah mengeluarkan perintah adalah hal yang sepele. Penyerang juga dapat mengeksploitasi apa yang disebut peneliti sebagai “FVV,” atau kerentanan suara penuh, yang memungkinkan Echos membuat perintah yang dikeluarkan sendiri tanpa mengurangi volume perangkat untuk sementara. Alexa, retas dirimu sendiri

Karena peretasan menggunakan fungsionalitas Alexa untuk memaksa perangkat membuat perintah yang dikeluarkan sendiri, para peneliti menjulukinya “AvA,” kependekan dari Alexa vs. Alexa. Ini hanya membutuhkan beberapa detik kedekatan dengan perangkat yang rentan saat dihidupkan sehingga penyerang dapat mengucapkan perintah suara yang menginstruksikannya untuk memasangkan dengan perangkat berkemampuan Bluetooth penyerang. Selama perangkat tetap berada dalam jangkauan radio Echo, penyerang akan dapat mengeluarkan perintah. Serangan itu “adalah yang pertama mengeksploitasi kerentanan perintah sewenang-wenang yang dikeluarkan sendiri pada perangkat Echo, memungkinkan penyerang untuk mengontrolnya untuk waktu yang lama,” tulis para peneliti di makalah yang diterbitkan dua minggu lalu. “Dengan pekerjaan ini, kami menghilangkan keharusan memiliki speaker eksternal di dekat perangkat target, meningkatkan kemungkinan serangan secara keseluruhan.” Variasi serangan menggunakan stasiun radio berbahaya untuk menghasilkan perintah yang dikeluarkan sendiri. Serangan itu tidak mungkin lagi seperti yang ditunjukkan di makalah setelah patch keamanan yang dirilis oleh pembuat Echo Amazon sebagai tanggapan atas penelitian tersebut. Para peneliti telah mengkonfirmasi bahwa serangan tersebut bekerja terhadap perangkat Echo Dot generasi ke-3 dan ke-4. A group of Amazon Echo smart speakers, including Echo Studio, Echo, and Echo Dot models. (Photo by Neil Godwin/Future Publishing via Getty Images)

Esposito dkk.

AvA dimulai ketika perangkat Echo yang rentan terhubung melalui Bluetooth ke perangkat penyerang (dan untuk Echo yang tidak ditambal, saat mereka memutar stasiun radio berbahaya). Sejak saat itu, penyerang dapat menggunakan aplikasi text-to-speech atau cara lain untuk mengalirkan perintah suara. Berikut video aksi AvA. Semua variasi serangan tetap bertahan, kecuali yang ditampilkan antara 1:40 dan 2:14:

    Alexa versus Alexa – Demo.

    Para peneliti menemukan bahwa mereka dapat menggunakan AvA untuk memaksa perangkat menjalankan sejumlah perintah, banyak dengan konsekuensi privasi atau keamanan yang serius. Kemungkinan tindakan jahat termasuk:

  • Mengontrol peralatan pintar lainnya, seperti mematikan lampu, menyalakan oven microwave pintar, menyetel pemanas ke suhu yang tidak aman, atau membuka kunci pintu pintar. Seperti disebutkan sebelumnya, ketika Echos memerlukan konfirmasi, musuh hanya perlu menambahkan “ya” ke perintah sekitar enam detik setelah permintaan.
  • Hubungi nomor telepon apa pun , termasuk yang dikendalikan oleh penyerang, sehingga memungkinkan untuk menguping suara di sekitar. Sementara Echos menggunakan lampu untuk menunjukkan bahwa mereka sedang melakukan panggilan, perangkat tidak selalu terlihat oleh pengguna, dan pengguna yang kurang berpengalaman mungkin tidak tahu apa arti lampu tersebut.
  • Melakukan pembelian tidak sah menggunakan akun Amazon korban. Meskipun Amazon akan mengirimkan email yang memberi tahu korban tentang pembelian tersebut, email tersebut mungkin terlewatkan atau pengguna dapat kehilangan kepercayaan pada Amazon. Atau, penyerang juga dapat menghapus item yang sudah ada di keranjang belanja akun.
  • Merusak kalender pengguna yang sebelumnya ditautkan untuk menambah, memindahkan, menghapus, atau mengubah acara.
  • Meniru keterampilan atau memulai keterampilan apa pun pilihan penyerang. Ini, pada gilirannya, dapat memungkinkan penyerang untuk mendapatkan kata sandi dan data pribadi.
  • Ambil semua ucapan yang dibuat oleh korban. Dengan menggunakan apa yang disebut para peneliti sebagai “serangan topeng”, musuh dapat mencegat perintah dan menyimpannya dalam database. Ini dapat memungkinkan musuh untuk mengekstrak data pribadi, mengumpulkan informasi tentang keterampilan yang digunakan, dan menyimpulkan kebiasaan pengguna.
    • Para peneliti menulis:

    Dengan tes ini, kami menunjukkan bahwa AvA dapat digunakan untuk memberikan perintah arbitrer dalam jenis dan panjang apa pun, dengan hasil yang optimal—khususnya, penyerang dapat mengontrol lampu pintar dengan tingkat keberhasilan 93%, berhasil membeli item yang tidak diinginkan di Amazon sebanyak 100%, dan merusak kalender tertaut dengan tingkat keberhasilan 88%. Perintah kompleks yang harus dikenali dengan benar secara keseluruhan agar berhasil, seperti memanggil nomor telepon, memiliki tingkat keberhasilan yang hampir optimal, dalam hal ini 73%. Selain itu, hasil yang ditunjukkan pada Tabel 7 menunjukkan penyerang dapat berhasil mengatur Serangan Penyamaran Suara melalui keterampilan Serangan Topeng kami tanpa terdeteksi, dan semua ucapan yang dikeluarkan dapat diambil dan disimpan dalam basis data penyerang, yaitu 41 dalam kasus kami.

    Halaman: 1 2

    Selanjutnya

    Rekomendasi:

    • Web3 Akan Menulis Ulang Strategi E-niaga Anda Transaksi NFT / Web3 akan menjadi hal biasa di etalase eCommerce dalam waktu kurang dari 5 tahun.Pelanggan akan dengan mulus membeli produk dari toko web melalui aplikasi terdistribusi yang diaktifkan…
    • Semua penawaran Black Friday 2021 terbaik yang dapat… Dealmaster — Kami telah memotong kebisingan Black Friday untuk menemukan penawaran yang sepadan dengan waktu Anda. Jeff Dunn - 26 November 2021 5:38 pagi UTC Perbesar / Sampel dari penawaran…
    • Polisi Kanada Membersihkan Para Demonstran Dari… Topline Sebagian besar demonstran pergi dengan damai Sabtu pagi dari Jembatan Duta Besar, tetapi polisi Kanada berhadapan dengan segelintir yang terus memblokir penyeberangan perbatasan yang menghubungkan AS dan Kanada sebagai…
    • Baca laporan ini tentang bagaimana Amazon mencoba… Armada pengemudi pengiriman Amazon mungkin terlepas dari gudang Amazon, tetapi perusahaan tetap memantau pengemudinya; itu memasang kamera yang selalu aktif di truk pengirimannya dan bahkan meminta pengemudi untuk menyetujui pengawasan…
    • Sensibo AirQ - Pengontrol AC pintar dengan sensor… Ketika datang ke polusi udara, kebanyakan orang cenderung memikirkan penurunan kualitas udara luar ruangan di kota-kota besar, yang terutama disebabkan oleh lalu lintas kendaraan dan cerobong asap industri yang berasal…
    • Bagaimana Amazon Membawa Produknya Dari Ide ke Eksekusi Mendesain produk dari awal bisa seperti mengemudi di malam hari: Jalan di depan gelap, dan hanya beberapa meter di depan Anda diterangi oleh lampu depan Anda.Itu menurut Apurva Gupta, desainer…
    • Microsoft Teams akan segera meluncurkan salah satu… Beranda BeritaPerangkat Lunak (Kredit gambar: Microsoft) Meskipun Cortana mungkin mati di ponsel, asisten digital Microsoft masih hidup dan sehat di Windows 11 dan akan segera membuat penampilan di Microsoft Teams.Sementara…
    • Tivoli Audio Model One Digital Generasi 2 – Radio… Jika Anda adalah seseorang yang suka mendengarkan musik setiap hari, maka radio digital pintar tidak diragukan lagi adalah salah satu perangkat terbaik yang bisa Anda dapatkan untuk rumah Anda. Pada…
    • SmartWings Blinds – Tirai / Tirai Bermotor Pintar Kustom Saat ini, ada banyak gadget rumah pintar yang berbeda yang didukung oleh teknologi Rumah Pintar yang pada akhirnya memungkinkan pemilik rumah untuk mengotomatiskan berbagai elemen di rumah mereka. Meskipun perangkat…
    • Netflix Warning Mengatakan Itu Menghapus… Pemberani Netflix Nah ini cukup besar. Netflix kini mulai menunjukkan pesan singkat kepada beberapa pemirsa yang menjalankan rangkaian Pembela dari pertunjukan Marvel untuk pertama kalinya, mengatakan bahwa mereka akan dihapus…
    • Linux telah digigit oleh kerentanan paling parahnya… Linux memiliki kerentanan tingkat tinggi lainnya yang memudahkan pengguna yang tidak dipercaya untuk mengeksekusi kode yang mampu melakukan sejumlah tindakan jahat termasuk menginstal pintu belakang, membuat akun pengguna yang tidak…
    • Telepon terbaik Beranda BeritaPonsel (Kredit gambar: Masa Depan) Samsung Galaxy S21 Ultra telah mempertahankan gelarnya sebagai smartphone terbaik di dunia saat ini sepanjang tahun 2021, dan sekarang baru saja mencapai harga terendah…
    • Dua jam tangan pintar favorit saya didiskon dalam… Beranda BeritaDapat Dipakai ) (Kredit gambar: TechRadar / Honor) Saya tidak pernah yakin apakah saya benar-benar Dapatkan jam tangan pintar. Saya telah menggunakan banyak barang sebagai bagian dari pekerjaan saya,…
    • Bilah lampu Govee Flow Pro memberi film atau… Setiap daftar belanja liburan memilikinya. Seorang kepala teknologi yang sulit untuk dibeli. Ini sering bukan kesalahan mereka. Mereka mungkin hanya tipe orang yang biasanya keluar dan mendapatkan hal-hal yang mereka…
    • Perangkat Shelly – Perangkat IoT berkemampuan Wi-Fi… Bagi pemilik rumah yang mencari cara untuk meningkatkan kualitas hidup mereka di rumah, salah satu solusi terbaik yang tersedia saat ini adalah perangkat IoT. Perangkat ini pada dasarnya terdiri dari…
    • Peretas negara Iran menggunakan Log4Shell untuk… TUNNELING IN — TunnelVision group mengeksploitasi kelemahan kritis untuk menginfeksi target dengan ransomware. Dan Goodin - 17 Februari 2022 11:31 malam UTC Peretas yang bersekutu dengan pemerintah Iran mengeksploitasi kerentanan…
    • Sensibo Air Pro – Pengontrol AC cerdas dengan sensor… Ketika datang ke polusi udara, kebanyakan orang cenderung berpikir tentang penurunan kualitas udara luar ruangan di kota-kota besar, yang terutama disebabkan oleh lalu lintas kendaraan dan cerobong asap industri yang…
    • Abode Wireless Video Bel (ULASAN LENGKAP) Jika Anda ingin meningkatkan tingkat keamanan di rumah Anda, salah satu cara terbaik untuk melakukannya adalah dengan membeli bel pintu video pintar. Dengan fokus pada pengawasan dan komunikasi, perangkat rumah…
    • Ecozy RV-SG250B – Robot Vacuum dan Mop dengan Smart… Menjaga kebersihan lantai, karpet, dan tangga di rumah Anda tidak harus menjadi kerja keras. Sementara membersihkan permukaan lain seperti di atas dan di bawah meja dapur, serta membersihkan rak dan…
    • Toko Go tanpa kasir Amazon akan hadir di pinggiran kota Anda mungkin tidak perlu pergi ke pusat kota (atau ke toko grosir) untuk mengunjungi toko Amazon Go. USA Today melaporkan Amazon berencana untuk membuka versi baru dari toko tanpa kasir…
    • Pemadaman dan Pemulihan: Apa yang Terjadi… Pada hari Selasa, yang seharusnya menjadi Hari Inovasi AWS di re:Invent 2021, Amazon Web Services malah menghadapi pemadaman wilayah lain yang memengaruhi segmen luas internet. Analis dengan Forrester dan Gartner…
    • Panduan Membeli Tablet 2021: Bentuk Komputasi yang… Seperti PC dan produk teknologi lainnya akhir-akhir ini, tablet telah melihat kebangkitan dan permintaan telah mencapai tingkat rekor baru. Tidak hanya tablet yang lebih bertenaga saat ini, tetapi tampilannya juga…
    • Speaker dan layar pintar Nest diskon hingga 50… Dunia aksesori rumah pintar tumbuh setiap tahun, dengan ide baru sesekali dan iterasi terbaru pada bahan pokok andalan. Segmen ini juga memanas di sekitar musim belanja liburan dan Black Friday…
    • AWS vs Amazon: Pendapatan raksasa cloud meningkat… AWS menutup tahun keuangannya dengan seperempat pertumbuhan pendapatan yang kuat, sementara perusahaan induknya, Amazon.com, melaporkan kinerja yang lebih suram Oleh Caroline Donnelly, Editor Senior, Inggris Diterbitkan: 04 Feb 2022 10:00…
    • Trump Dilaporkan Memainkan Peran Langsung Dalam… Topline Beberapa minggu setelah hari pemilihan, mantan Presiden Donald Trump dilaporkan memerintahkan pengacaranya Rudy Giuliani untuk bertanya kepada Departemen Keamanan Dalam Negeri (DHS) apakah itu dapat secara legal merebut mesin…
    • Amazon akan membuat 1.500 magang di Inggris pada tahun 2022 Ascannio - stock.adobe.com Raksasa ritel Amazon akan mencari lebih dari 1.000 magang Inggris tahun ini, menambah ribuan karyawan baru itu dibuat pada tahun 2021 Oleh Clare McDonald, Editor Bisnis Diterbitkan:…
    • Smarty Pear Leo's Loo Too - Kotak kotoran kucing… Kucing bisa menjadi sahabat yang sangat hangat dan ramah. Namun, memiliki kucing tidak datang tanpa tanggung jawab yang adil. Pertama, memberi makan kucing Anda dan mengganti mangkuk airnya setiap hari.…
    • Laporan: Microsoft HoloLens 3 mati karena visi… IDG Microsoft dilaporkan telah membatalkan HoloLens generasi ketiganya, membuat rencana "metaverse" perusahaan berantakan. Menurut laporan dari Business Insider, Microsoft membunuh HoloLens 3 pada tahun 2021, beralih ke perangkat yang direncanakan…
    • Ilhan Omar Menyebut Pembicara McCarthy… Topline Rep. Ilhan Omar (D-Minn.) mengatakan Pemimpin Minoritas DPR Kevin McCarthy adalah “pembohong dan pengecut” karena menolak untuk mengutuk komentar anti-Muslim Rep. Lauren Boebert (R-Colo.) yang membandingkan Omar dengan teroris,…
    • Soundbar Komputer Terbaik untuk PC atau Mac Anda Jika Anda membeli sesuatu melalui tautan kami, kami dapat memperoleh uang dari mitra afiliasi kami. Pelajari lebih lanjut.Jika Anda muak dengan speaker komputer internal dan tidak memiliki ruang untuk pengaturan…
    Designed by SuaraSekitar Terkini
    © Copyright 2025, All Rights Reserved