Категория > Новости > Исследователи заставили колонки Amazon Echo подслушивать пользователей - «Новости»
Исследователи заставили колонки Amazon Echo подслушивать пользователей - «Новости»16-08-2018, 08:00. Автор: Paterson |
"); }else{ $('#mpu1-desktop').remove(); console.log('mpu1-desktop removed'); } }); Довольно интересный способ компрометации колонок Amazon Echo продемонстрировали на конференции DEF CON сотрудники китайской компании Tencent. Фактически им удалось превратить колонки Echo в подслушивающие устройства. Так, физически модифицировав один «умный» гаджет, специалисты сумели заставить остальные колонки в той же сети шпионить за своими владельцами. Специалисты рассказали, что использовали «множественные уязвимости, чтобы осуществить удаленную атаку за наиболее популярные “умные” колонки». В итоге гаджеты могут тайно подслушивать своих хозяев, а злоумышленники контролируют все, что говорит колонка и не только. Осуществить такую атаку непросто и вряд ли можно ожидать массового применения такого подхода. Эксперты Tencent серьезно модифицировали свою версию Echo: сняли чип флэш-памяти, установили на кастомную прошивку, а затем собрали все обратно и вернули колонку в сеть. Нужно заметить, что все эти манипуляции в среднем занимают лишь 15 минут. Дело в том, что устройства Echo, находящиеся в одной сети Wi-Fi, могут сообщаться друг с другом, чем и воспользовались исследователи. В итоге модифицированное устройство не только получило возможность «слушать» аудио с других Echo, но и контролировать их, проигрывая произвольные звуки и так далее. Добиться такого эффекта удалось с помощью обращения к интерфейсу Alexa через сайт Amazon и эксплуатации ряда багов, включая URL redirection, даунгрейда HTTPS и XSS. Несмотря на кажущуюся сложность и непрактичность, предложенный специалистами вектор атак, по сути, представляет собой вариацию на классическую тему evil made. Дело в том, что «умные» колонки со встроенными помощниками становятся все популярнее и их все чаще устанавливают не только дома, но и в общественных местах (школах, отелях, офисах компаний). Если злоумышленник сумеет получить доступ хотя бы к одной из колонок в такой сети и модифицировать ее, он сможет использовать вредоносную Echo, например, для слежки за конкретным сотрудником какой-то компании. Впрочем, сообщается, что в настоящее время все обнаруженные экспертами Tencent проблемы уже были устранены. Перейти обратно к новости |