Los atacantes pueden obligar a Amazon Echos a piratearse a sí mismo con comandos emitidos por ellos mismos
Investigadores académicos han desarrollado una nueva utilidad de trabajo que controla los parlantes inteligentes de Amazon Echo y los obliga a desbloquear puertas, hacer llamadas y realizar compras no autorizadas, y controlar hornos, microondas y otros dispositivos inteligentes.
El ataque funciona dando comandos de voz a través del altavoz del dispositivo. Siempre que el discurso contenga la palabra de activación del dispositivo (generalmente “Alexa” o “Echo”) seguida de un comando permitido, Echo lo ejecuta, según descubrieron investigadores de la Universidad Royal Holloway en Londres y la Universidad de Catania en Italia. Aunque los dispositivos requieren una confirmación verbal antes de ejecutar comandos confidenciales, es trivial omitir la operación agregando la palabra “sí” unos seis segundos después de emitir el comando. Los atacantes también pueden aprovechar lo que los investigadores llaman “FVV”, o una vulnerabilidad de voz completa, que permite a Echos emitir comandos sin bajar temporalmente el volumen del dispositivo.
Alexa, ve a hackearte
Debido a que la piratería obliga a los dispositivos a crear sus propios comandos utilizando la funcionalidad de Alexa, los investigadores lo llamaron “AvA”, un acrónimo de Alexa vs. Alexa. Solo se necesitan unos segundos de proximidad a un dispositivo vulnerable cuando está encendido para que un atacante pronuncie un comando de voz que le indique que se empareje con el dispositivo Bluetooth del atacante. Mientras el dispositivo permanezca en el rango de radio de Echo, el atacante puede emitir comandos.
El ataque “es el primero en explotar una vulnerabilidad en comandos arbitrarios autónomos en dispositivos Echo que permite que un atacante los controle durante mucho tiempo”, escribieron los investigadores. papel publicado hace dos semanas. “Con este trabajo, eliminamos la necesidad de mantener un altavoz externo cerca del dispositivo de destino, lo que aumenta la probabilidad general de un ataque”.
Una variante del ataque utiliza una estación de radio maliciosa para crear sus propios comandos. Este ataque ya no es posible como se describe en el documento después de las correcciones de seguridad publicadas por Echo-Maker Amazon en respuesta a la investigación. Los investigadores han confirmado que los ataques funcionan contra dispositivos Echo Dot de tercera y cuarta generación.
AvA comienza cuando un dispositivo Echo vulnerable establece una conexión Bluetooth con el dispositivo de un atacante (y para ecos no corregidos mientras se reproduce una estación de radio maliciosa). A partir de ese momento, un atacante podría usar texto a voz u otros medios para transmitir comandos de voz. Aquí hay un video de AvA en acción. Todas las variaciones de ataque siguen siendo utilizables, excepto las que se muestran entre 1:40 y 2:14:
Los investigadores descubrieron que podían usar AvA para obligar a los dispositivos a ejecutar muchos comandos, muchos de los cuales tienen serias implicaciones de privacidad o seguridad. Las posibles acciones dañinas incluyen, p.
- Controlar otros dispositivos inteligentes, como apagar las luces, encender el microondas inteligente, configurar la calefacción a una temperatura peligrosa o desbloquear las puertas inteligentes. Como se señaló anteriormente, cuando Echos requiere confirmación, el oponente solo necesita adjuntar un comando “sí” unos seis segundos después de la solicitud.
- Llame a cualquier número de teléfono, incluido un número de teléfono controlado por el atacante, para escuchar las voces cercanas. Aunque Echos usa luz para indicar una llamada, los dispositivos no siempre son visibles para los usuarios y es posible que los usuarios menos experimentados no sepan qué significa la luz.
- Hacer compras no autorizadas con la cuenta de Amazon de la víctima. Incluso si Amazon envía un correo electrónico informando a la víctima de la compra, el correo electrónico puede pasar desapercibido o el usuario puede perder la confianza en Amazon. Alternativamente, los atacantes también podrían eliminar productos que ya están en su carrito.
- Modifique el calendario previamente vinculado de un usuario para agregar, mover, eliminar o editar eventos.
- Demostrar habilidades o iniciar cualquier habilidad elegida por el atacante. Esto, a su vez, puede permitir que los atacantes obtengan acceso a contraseñas e información personal.
- Obtenga todas las declaraciones de las víctimas. Usando lo que los científicos llaman un “ataque de máscara”, un oponente puede interceptar comandos y almacenarlos en una base de datos. Esto le permite al oponente extraer información privada, recopilar información sobre las habilidades utilizadas e inferir patrones de uso.
Los investigadores escribieron:
Con estas pruebas, demostramos que AvA puede usarse para emitir comandos arbitrarios de cualquier tipo y longitud con resultados óptimos; en particular, un atacante puede controlar luces inteligentes con una tasa de éxito del 93 %, comprando productos no deseados de Amazon al 100 %. tiempos y manipulación [with] un calendario vinculado con una tasa de éxito del 88 %. Los comandos complejos que deben identificarse correctamente en su totalidad para tener éxito, como llamar a un número de teléfono, son casi óptimos, en este caso el 73%. Además, los resultados de la Tabla 7 muestran que un atacante puede lanzar con éxito el Ataque de enmascaramiento de voz con nuestras habilidades de ataque de máscara sin ser detectado, y todas las declaraciones realizadas pueden recuperarse y almacenarse en la base de datos del atacante, en nuestro caso 41.
Especialista web. Evangelista de viajes. Alborotador. Fanático de la música amigable con los hipster. Experto en comida