Los atacantes pueden obligar a Amazon Echos a colapsar por su cuenta

Investigadores académicos han desarrollado un nuevo sistema operativo que ejecuta altavoces inteligentes Amazon Echo, obligándolos a abrir puertas, hacer llamadas telefónicas, realizar compras no autorizadas, administrar hornos, hornos de microondas y otros dispositivos inteligentes.

El ataque funciona para dar comandos de voz a través del altavoz del dispositivo. Siempre que el discurso contenga la palabra llamada de atención (generalmente «Alexa» o «Echo») seguida del comando permitido, Echo lo ejecutará, según investigadores de la Universidad Royal Holloway de Londres y la Universidad de Catania en Italia. . Incluso cuando los dispositivos requieren confirmación verbal antes de ejecutar comandos confidenciales, se anula ligeramente agregando la palabra «sí» unos seis segundos después de que se emite el comando. Los atacantes también pueden usar lo que los investigadores llaman «FVV», o vulnerabilidad de voz completa, que permite a Echos ejecutar comandos de forma independiente sin reducir temporalmente el ruido del dispositivo.

Alexa, ve a romperte

Debido a que los piratas informáticos usan la funcionalidad de Alexa para obligar a los dispositivos a ejecutar comandos por su cuenta, los investigadores lo han denominado «AvA», abreviatura de Alexa vs. Para Alexa». Solo requiere unos segundos de proximidad al dispositivo vulnerable siempre que esté encendido para que el atacante pueda pronunciar un comando de voz indicándole que se conecte con el dispositivo Bluetooth del atacante. Mientras el dispositivo permanezca en la transmisión de radio Echo, el atacante podrá dar órdenes.

El ataque «es el primero en explotar la vulnerabilidad de los comandos arbitrarios en los dispositivos Echo, lo que permite al atacante controlarlos durante mucho tiempo», escribieron los investigadores. papel: publicado hace dos semanas. «Con este trabajo, eliminamos la necesidad de tener un micrófono externo cerca del dispositivo de destino, lo que aumenta la probabilidad general de ataque».

La versión de ataque utiliza una estación de radio maliciosa para generar comandos autoemitidos. El ataque ya no es posible, como se muestra en el documento, luego de las brechas de seguridad publicadas por Amazon, el fabricante de Echo, en respuesta a la investigación. Los investigadores han confirmado que los ataques funcionan contra dispositivos Echo Dot de tercera y cuarta generación.

AvA comienza cuando un dispositivo Echo vulnerable se conecta al dispositivo de un atacante a través de Bluetooth (en el caso de dispositivos Echo desbloqueados cuando reproducen una estación de radio maliciosa). A partir de ese momento, el atacante podría usar un archivo adjunto de mensaje de texto u otros medios para transmitir comandos de voz. Aquí hay un video de la acción de AvA. Todas las variantes del ataque siguen siendo viables, excepto las que se muestran entre las 13:40 y las 14:14 horas.

Los investigadores han descubierto que pueden usar AvA para obligar a los dispositivos a ejecutar una variedad de comandos, muchos de los cuales tienen serias implicaciones de privacidad o seguridad. Las posibles acciones dañinas incluyen:

• Administrar otros dispositivos inteligentes, como apagar las luces, encender el microondas inteligente, configurar la calefacción a una temperatura peligrosa o abrir las cerraduras de las puertas inteligentes. Como se mencionó anteriormente, cuando Echos requiere confirmación, el adversario solo necesita agregar «sí» al comando unos seis segundos después de la consulta.
• Llame a cualquier número de teléfono, incluido el controlado por el atacante, para poder escuchar las voces cercanas. Ya sea que ch Echos use luz para indicar que está haciendo una llamada, los dispositivos no siempre son visibles para los usuarios. Es posible que los usuarios menos experimentados no sepan lo que significa la luz.
• Compras no autorizadas a través de la cuenta de Amazon de la víctima. Incluso si Amazon envía un correo electrónico notificando a la víctima de la compra, es posible que se pierda el correo electrónico o que el usuario pierda la confianza en Amazon. Alternativamente, los atacantes pueden eliminar elementos que ya están en el carrito de compras.
• Rompe el calendario previamente vinculado de un usuario para agregar, mover, eliminar o modificar eventos.
• Haga coincidir las habilidades o comience cualquier habilidad de su elección. Esto, a su vez, puede permitir a los atacantes obtener contraseñas, información personal.
• Toma todas las expresiones de la víctima. Usando lo que los investigadores llaman un «ataque enmascarado», un adversario puede interrumpir comandos y almacenarlos en una base de datos. Esto puede permitir que el adversario extraiga datos privados, recopile información sobre las habilidades utilizadas e infiera los hábitos de los usuarios.

Los investigadores escribieron:

A través de estas pruebas, hemos demostrado que AvA se puede usar para dar comandos arbitrarios de cualquier longitud con resultados óptimos, en particular, un atacante puede controlar luces inteligentes con un 93 % de éxito y comprar artículos no deseados de Amazon con un 100 %. distorsionar los tiempos [with] calendario conectado con una tasa de éxito del 88 %. Los comandos complejos que deben reconocerse por completo para tener éxito, como marcar un número de teléfono, tienen una tasa de éxito casi óptima, en este caso del 73 %. Además, los resultados que se muestran en la Tabla 7 muestran que un atacante puede manejar con éxito un ataque de Mascarada de Voz usando nuestra habilidad Mask Attack sin detectar և todas las expresiones de salida pueden recuperarse և almacenadas en la base de datos del atacante, en particular: en nuestro caso, 41.