Penyerang dapat memaksa Amazon Echos untuk meretas diri mereka sendiri dengan perintah yang dikeluarkan sendiri

Penyerang dapat memaksa Amazon Echos untuk meretas diri mereka sendiri dengan perintah yang dikeluarkan sendiri

ALEXA VS. ALEXA —

Perangkat “pintar” yang populer mengikuti perintah yang dikeluarkan oleh speakernya sendiri. Apa yang bisa salah?

Dan Goodin

Memperbesar /

Majalah T3/Getty Images

Peneliti akademis telah merancang eksploitasi kerja baru yang memerintahkan speaker pintar Amazon Echo dan memaksa mereka untuk membuka kunci pintu, melakukan panggilan telepon dan pembelian tidak sah, dan mengontrol tungku, oven microwave, dan peralatan pintar lainnya.

Serangan bekerja dengan menggunakan speaker perangkat untuk mengeluarkan perintah suara. Selama pidato berisi kata bangun perangkat (biasanya “Alexa” atau “Echo”) diikuti oleh perintah yang diizinkan, Echo akan melaksanakannya, peneliti dari Universitas Royal Holloway di London dan Universitas Catania Italia menemukan. Bahkan ketika perangkat memerlukan konfirmasi verbal sebelum menjalankan perintah sensitif, mengabaikan ukuran dengan menambahkan kata “ya” sekitar enam detik setelah mengeluarkan perintah adalah hal yang sepele. Penyerang juga dapat mengeksploitasi apa yang disebut peneliti sebagai “FVV,” atau kerentanan suara penuh, yang memungkinkan Echos membuat perintah yang dikeluarkan sendiri tanpa mengurangi volume perangkat untuk sementara. Alexa, retas dirimu sendiri

Karena peretasan menggunakan fungsionalitas Alexa untuk memaksa perangkat membuat perintah yang dikeluarkan sendiri, para peneliti menjulukinya “AvA,” kependekan dari Alexa vs. Alexa. Ini hanya membutuhkan beberapa detik kedekatan dengan perangkat yang rentan saat dihidupkan sehingga penyerang dapat mengucapkan perintah suara yang menginstruksikannya untuk memasangkan dengan perangkat berkemampuan Bluetooth penyerang. Selama perangkat tetap berada dalam jangkauan radio Echo, penyerang akan dapat mengeluarkan perintah. Serangan itu “adalah yang pertama mengeksploitasi kerentanan perintah sewenang-wenang yang dikeluarkan sendiri pada perangkat Echo, memungkinkan penyerang untuk mengontrolnya untuk waktu yang lama,” tulis para peneliti di makalah yang diterbitkan dua minggu lalu. “Dengan pekerjaan ini, kami menghilangkan keharusan memiliki speaker eksternal di dekat perangkat target, meningkatkan kemungkinan serangan secara keseluruhan.” Variasi serangan menggunakan stasiun radio berbahaya untuk menghasilkan perintah yang dikeluarkan sendiri. Serangan itu tidak mungkin lagi seperti yang ditunjukkan di makalah setelah patch keamanan yang dirilis oleh pembuat Echo Amazon sebagai tanggapan atas penelitian tersebut. Para peneliti telah mengkonfirmasi bahwa serangan tersebut bekerja terhadap perangkat Echo Dot generasi ke-3 dan ke-4. A group of Amazon Echo smart speakers, including Echo Studio, Echo, and Echo Dot models. (Photo by Neil Godwin/Future Publishing via Getty Images)

Esposito dkk.

AvA dimulai ketika perangkat Echo yang rentan terhubung melalui Bluetooth ke perangkat penyerang (dan untuk Echo yang tidak ditambal, saat mereka memutar stasiun radio berbahaya). Sejak saat itu, penyerang dapat menggunakan aplikasi text-to-speech atau cara lain untuk mengalirkan perintah suara. Berikut video aksi AvA. Semua variasi serangan tetap bertahan, kecuali yang ditampilkan antara 1:40 dan 2:14:

    Alexa versus Alexa – Demo.

    Para peneliti menemukan bahwa mereka dapat menggunakan AvA untuk memaksa perangkat menjalankan sejumlah perintah, banyak dengan konsekuensi privasi atau keamanan yang serius. Kemungkinan tindakan jahat termasuk:

  • Mengontrol peralatan pintar lainnya, seperti mematikan lampu, menyalakan oven microwave pintar, menyetel pemanas ke suhu yang tidak aman, atau membuka kunci pintu pintar. Seperti disebutkan sebelumnya, ketika Echos memerlukan konfirmasi, musuh hanya perlu menambahkan “ya” ke perintah sekitar enam detik setelah permintaan.
  • Hubungi nomor telepon apa pun , termasuk yang dikendalikan oleh penyerang, sehingga memungkinkan untuk menguping suara di sekitar. Sementara Echos menggunakan lampu untuk menunjukkan bahwa mereka sedang melakukan panggilan, perangkat tidak selalu terlihat oleh pengguna, dan pengguna yang kurang berpengalaman mungkin tidak tahu apa arti lampu tersebut.
  • Melakukan pembelian tidak sah menggunakan akun Amazon korban. Meskipun Amazon akan mengirimkan email yang memberi tahu korban tentang pembelian tersebut, email tersebut mungkin terlewatkan atau pengguna dapat kehilangan kepercayaan pada Amazon. Atau, penyerang juga dapat menghapus item yang sudah ada di keranjang belanja akun.
  • Merusak kalender pengguna yang sebelumnya ditautkan untuk menambah, memindahkan, menghapus, atau mengubah acara.
  • Meniru keterampilan atau memulai keterampilan apa pun pilihan penyerang. Ini, pada gilirannya, dapat memungkinkan penyerang untuk mendapatkan kata sandi dan data pribadi.
  • Ambil semua ucapan yang dibuat oleh korban. Dengan menggunakan apa yang disebut para peneliti sebagai “serangan topeng”, musuh dapat mencegat perintah dan menyimpannya dalam database. Ini dapat memungkinkan musuh untuk mengekstrak data pribadi, mengumpulkan informasi tentang keterampilan yang digunakan, dan menyimpulkan kebiasaan pengguna.
    • Para peneliti menulis:

    Dengan tes ini, kami menunjukkan bahwa AvA dapat digunakan untuk memberikan perintah arbitrer dalam jenis dan panjang apa pun, dengan hasil yang optimal—khususnya, penyerang dapat mengontrol lampu pintar dengan tingkat keberhasilan 93%, berhasil membeli item yang tidak diinginkan di Amazon sebanyak 100%, dan merusak kalender tertaut dengan tingkat keberhasilan 88%. Perintah kompleks yang harus dikenali dengan benar secara keseluruhan agar berhasil, seperti memanggil nomor telepon, memiliki tingkat keberhasilan yang hampir optimal, dalam hal ini 73%. Selain itu, hasil yang ditunjukkan pada Tabel 7 menunjukkan penyerang dapat berhasil mengatur Serangan Penyamaran Suara melalui keterampilan Serangan Topeng kami tanpa terdeteksi, dan semua ucapan yang dikeluarkan dapat diambil dan disimpan dalam basis data penyerang, yaitu 41 dalam kasus kami.

    Halaman: 1 2

    Selanjutnya

    Rekomendasi:

    • Canviart Canvia – Bingkai Seni Digital Cerdas dengan… Jika Anda adalah seseorang yang senang melihat foto-foto lama dan menghidupkan kembali momen-momen masa lalu dan kenangan indah, maka salah satu gadget terbaik yang bisa Anda dapatkan untuk rumah Anda…
    • Cara meningkatkan kecepatan internet Anda Tidak ada yang lebih membuat frustrasi daripada internet Anda bergerak dengan kecepatan siput. Laman web membutuhkan waktu lama untuk dimuat, dan game serta layanan streaming mengalami kelambatan. Dengan semakin seringnya…
    • Penawaran Black Friday 2021 di bawah $25:… Cerita ini adalah bagian dari Panduan Hadiah Liburan 2021, daftar ide kami, berdasarkan topik, berdasarkan penerima, dan berdasarkan harga, untuk membantu Anda menemukan hadiah yang sempurna. Black Friday sekarang secara…
    • Cara menggunakan ponsel Anda dengan aman 3 April adalah Hari Ponsel Internasional karena panggilan telepon seluler pertama dilakukan pada tanggal tersebut pada tahun 1973. Tujuan awal ponsel adalah untuk meningkatkan mobilitas komunikasi. Teknologi modern telah jauh…
    • Apa yang terjadi dengan kesepakatan Amazon dengan Rivian? Ketika Amazon mengumumkan akan membeli 100.000 van pengiriman listrik dari Rivian pada 2019, itu memberikan kredibilitas langsung kepada startup kendaraan listrik (EV) yang kurang dikenal itu. Sekarang Amazon memberi investor…
    • Clubhouse memiliki Mode Musik baru yang dapat… Clubhouse memiliki persaingan yang sangat besar dari perusahaan besar yang ingin memiliki ruang audio langsung, tetapi mungkin akan unggul dalam satu cara tertentu. Perusahaan meluncurkan Mode Musik baru yang dapat…
    • Mengapa Nike, Apple, Amazon, atau Equinox harus… Peloton tidak lagi naik tinggi. Saham perusahaan kebugaran terpukul setelah berita pecah pekan lalu bahwa mereka akan menghentikan sementara produksi karena permintaan melemah untuk sepeda stasionernya. Saham Peloton ditutup tepat…
    • Atomi Smart AT1680 – Lampu LED sconce dinding luar… Pintu masuk ke rumah kami adalah salah satu bagian terpenting dari rumah kami, karena secara harfiah pintu masuk ke ruang hidup pribadi dan unik kami. Inilah sebabnya mengapa semua pemilik…
    • 8 perangkat rumah pintar baru muncul pada tahun 2022 Smartphone, jam tangan pintar, sekolah pintar, rumah pintar. Daftar ini dapat diperluas. Era modern menawarkan banyak kesempatan untuk membuat hidup kita lebih mudah, lebih cerdas, dan bebas stres. Tetapi jika…
    • Pemadaman dan Pemulihan: Apa yang Terjadi… Pada hari Selasa, yang seharusnya menjadi Hari Inovasi AWS di re:Invent 2021, Amazon Web Services malah menghadapi pemadaman wilayah lain yang memengaruhi segmen luas internet. Analis dengan Forrester dan Gartner…
    • OKP L1 – Penyedot debu robot yang dapat diisi ulang… Dalam hal menjaga rumah Anda tetap bersih berkilau, kita semua tahu betapa membersihkan seluruh rumah bisa memakan energi dan waktu. Saat itulah robot penyedot debu pintar berguna. Dibandingkan menghabiskan waktu…
    • Smarty Pear Leo's Loo Too - Kotak kotoran kucing… Kucing bisa menjadi sahabat yang sangat hangat dan ramah. Namun, memiliki kucing tidak datang tanpa tanggung jawab yang adil. Pertama, memberi makan kucing Anda dan mengganti mangkuk airnya setiap hari.…
    • Laporan: Microsoft HoloLens 3 mati karena visi… IDG Microsoft dilaporkan telah membatalkan HoloLens generasi ketiganya, membuat rencana "metaverse" perusahaan berantakan. Menurut laporan dari Business Insider, Microsoft membunuh HoloLens 3 pada tahun 2021, beralih ke perangkat yang direncanakan…
    • McDonald's Menambahkan Empat Item Menu Rahasia… Penggemar makanan cepat saji telah membuat versi mereka sendiri dari item menu selama rantai ada, dengan munculnya media sosial yang melontarkan 'item menu rahasia' dan meretas ke arus utama dan…
    • Polisi Kanada Membersihkan Para Demonstran Dari… Topline Sebagian besar demonstran pergi dengan damai Sabtu pagi dari Jembatan Duta Besar, tetapi polisi Kanada berhadapan dengan segelintir yang terus memblokir penyeberangan perbatasan yang menghubungkan AS dan Kanada sebagai…
    • Tingkatkan Bisnis Anda dengan Amazon Lending Jual di sini, pinjam di sini. Setelah Anda memiliki akun penjual di Amazon, Anda mungkin memenuhi syarat untuk meminjam hingga $750.000. Apa itu Amazon Lending?Amazon meluncurkan Amazon Community Lending sebagai…
    • Ribuan pelanggan AT&T di AS terinfeksi oleh malware… BELAKANG! — Malware mengeksploitasi kerentanan 2017 di perangkat tepi jaringan yang banyak digunakan. Dan Goodin - 1 Des 2021 13:24 UTC Getty ImagesRibuan perangkat jaringan milik pelanggan Internet AT&T di…
    • Web3 Akan Menulis Ulang Strategi E-niaga Anda Transaksi NFT / Web3 akan menjadi hal biasa di etalase eCommerce dalam waktu kurang dari 5 tahun.Pelanggan akan dengan mulus membeli produk dari toko web melalui aplikasi terdistribusi yang diaktifkan…
    • Microsoft Mengeluarkan Windows 10 Serius, Peringatan… Pengguna Windows 10 dan Windows 11, saatnya beraksi. Microsoft telah mengkonfirmasi beberapa kerentanan baru dalam sistem operasinya, termasuk beberapa yang diakuinya sudah diketahui oleh peretas. Beberapa ancaman keamanan baru telah…
    • iLive Indoor/Outdoor Dual Bluetooth Speaker dengan… Gadget berikutnya ini untuk mereka yang tidak bisa hidup tanpa musik. Jika Anda adalah seseorang yang senang mendengarkan musik setiap hari, maka salah satu gadget terbaik yang bisa Anda dapatkan…
    • Peretas negara Iran menggunakan Log4Shell untuk… TUNNELING IN — TunnelVision group mengeksploitasi kelemahan kritis untuk menginfeksi target dengan ransomware. Dan Goodin - 17 Februari 2022 11:31 malam UTC Peretas yang bersekutu dengan pemerintah Iran mengeksploitasi kerentanan…
    • Lampu LED Govee RGBIC – lampu luar ruangan dekoratif… Salah satu cara yang sangat keren untuk merayakan acara-acara khusus seperti hari libur nasional dan internasional, serta ulang tahun, serta waktu perayaan yang berbeda dalam setahun, adalah dengan mendekorasi rumah…
    • Datang ke laptop di dekat Anda: Jenis chip keamanan… AT LONG LAST — AMD menjadi pembuat CPU pertama yang mengintegrasikan chip rancangan Microsoft ke dalam produknya. Dan Goodin - 4 Jan 2022 22:15 UTC Pada November 2020, Microsoft meluncurkan…
    • Microsoft Teams akan segera meluncurkan salah satu… Beranda BeritaPerangkat Lunak (Kredit gambar: Microsoft) Meskipun Cortana mungkin mati di ponsel, asisten digital Microsoft masih hidup dan sehat di Windows 11 dan akan segera membuat penampilan di Microsoft Teams.Sementara…
    • Beberapa jam tangan pintar dan pelacak kebugaran… Harga jam tangan — Banyak dari produk wearable teratas kami mendapatkan diskon besar minggu ini. Corey Gaskin - 24 Nov 2021 23:00 UTC Perbesar / Seri Garmin Forerunner adalah pilihan…
    • Sensibo AirQ - Pengontrol AC pintar dengan sensor… Ketika datang ke polusi udara, kebanyakan orang cenderung memikirkan penurunan kualitas udara luar ruangan di kota-kota besar, yang terutama disebabkan oleh lalu lintas kendaraan dan cerobong asap industri yang berasal…
    • Penawaran terbaik akhir pekan: kartu hadiah Nintendo… Dealmaster — Dealmaster juga memiliki CPU AMD Ryzen, Fully standing desk, dan Google Nest Hub Max. Staf Ars - 5 Mar 2022 17:17 UTCArs Technica Ini akhir pekan, yang berarti…
    • Amazon sekarang memberikan lebih banyak paket AS… Pada tahun 2014, Amazon mengirimkan sekitar 0,2% dari semua paket AS. Saat ini, Amazon menguasai seperlima pasar pengiriman, dan berada di jalur yang tepat untuk menyalip UPS dan bahkan Layanan…
    • CARRAT meluncurkan gelang pintar pertama yang… Dibuat di Jenewa, Swiss, CARRAT baru saja merilis koleksi gelang pengamannya yang baru dan memiliki satu tujuan: Membuat Anda tetap aman! Lahir dari akumulasi banyak pengalaman negatif seputar keselamatan pribadi.…
    • SmartWings Blinds – Tirai / Tirai Bermotor Pintar Kustom Saat ini, ada banyak gadget rumah pintar yang berbeda yang didukung oleh teknologi Rumah Pintar yang pada akhirnya memungkinkan pemilik rumah untuk mengotomatiskan berbagai elemen di rumah mereka. Meskipun perangkat…
    Designed by SuaraSekitar Terkini
    © Copyright 2024, All Rights Reserved