Amazon виправив помилку, яка дозволяла хакерам прослуховувати Alexa-пристрої

Одна з найзручніших речей в розумній колонці Echo від Amazon полягає в тому, що Alexa завжди готова слухати ваші команди. Однак команда з фірми Checkmarx, яка займається тестуванням безпеки, захотіла перевірити, чи може ця постійно включена функція перетворити гаджет в пристрій для злому – і виявилося, що відповідь була позитивною.

Checkmarx змогла створити навичку, яка дозволила хакерам прослуховувати пристрої Echo та розмови їхніх користувачів. Amazon виправила проблему на початку цього місяця, але інцидент служить застереженням, оскільки наші будинки стають все більш підключеними, а колонки з голосовими помічниками стають все більш поширеними.

Ось як це зробив Checkmarx: Зазвичай Alexa перестає слухати після того, як вона виконує вашу команду, і не починає знову, поки ви не скажете слово “Alexa”. Однак дослідники з’ясували, що хакери можуть скористатися функцією “повторної підказки” Alexa. Якщо Alexa не розуміє, що ви говорите з першого разу, вона дає вам знати про це і продовжує слухати, поки ви не повторите.

• Amazon додає підтримку Matter до 17 пристроїв Echo
• Кращі пристрої для розумного будинку на 2022 рік
• Який Amazon Echo варто купити?

Дослідники Checkmarx виявили, що хакери могли б розробити навичку Alexa, яка змушувала віртуального помічника продовжувати слухати, незважаючи на те, що він спочатку зрозумів команду. Вони також змогли відключити звук підказки Alexa, коли вона просить користувачів повторити підказку, тим самим змушуючи співрозмовника мовчати, але продовжувати слухати. Наступна частина злому Checkmarx полягала в організації способу, за допомогою якого Alexa не тільки продовжувала слухати так, щоб люди цього не помічали, але й записувала почуте. Сервери Amazon зберігають аудіоконтент людей, коли вони розмовляють з Alexa.

Зазвичай розробники, які створюють навички, отримують транскрипції цих розмов до тих пір, поки вимовлені слова знаходяться в контексті навички. У цьому випадку команда Checkmarx змусила навичку записувати будь-яке слово, яке було частиною вбудованого словника Alexa

Користувачі мають багато міркувань щодо безпеки, про які слід турбуватися, коли мова йде про дані, що зберігаються в хмарі. Маючи це на увазі, дослідники Checkmarx хотіли переконатися, що їхні висновки відповідають дійсності в реальному житті. Вони створили, здавалося б, безневинний калькулятор, який змусив Alexa слухати більше хвилини, поки хтось із Checkmarx не сказав їй зупинитися. Люди в кімнаті розмовляли, поки навичка продовжувала працювати. Вони виявили, що, звичайно ж, діалог був записаний в стенограмі слово в слово, фактично даючи людині можливість “підслуховувати”, читаючи текст.

Checkmarx зв’язався з Amazon, щоб розповісти компанії про недолік пристрою на початку цього місяця, і Amazon виправив проблему 10 квітня.

Аміт Ашбел, директор з маркетингу продуктів Checkmarx, сказав, що Amazon скоротила час, протягом якого Alexa продовжує слухати, і прибрала можливість заглушити діалог Alexa з відповіддю. Ці коригування унеможливлюють повторне створення злому. Amazon не прокоментувала злом.

Якщо ви турбуєтеся про те, що Alexa прослуховує вас, ви завжди можете зайти в додаток і видалити свою історію.

Рекомендації редакції

• Найкращі навички Alexa для використання на вашому Amazon Echo у 2023 році
• Найкращі поради та підказки для Amazon Echo
• Як використовувати Alexa разом
• Чи є Pixel Tablet конкурентом Echo Show 15?
• Nest Mini (2-го покоління) проти Amazon Echo Dot (5-го покоління)

Source: digitaltrends.com