Amazon heeft een mogelijke exploit gerepareerd die door Checkmarx is ontdekt. De onderzoekers van laatstgenoemde zeiden dat Alexa je mogelijk in de gaten kon houden, zelfs als je totaal niet wist dat kwaadwillende buitenstaanders je Echo in een luisterapparaat veranderden. De labspeurders ontdekten een manier om de stemassistent van Amazon constant te laten luisteren.

Alfred Ng in CNET zei:"Amazon zei dat het sindsdien de gemelde problemen heeft opgelost." Bijvoorbeeld, Ng meldde, Amazon verwijderde de mogelijkheid om herhalingen de mond te snoeren, en het verkortte de hoeveelheid tijd waar Alexa naar kon luisteren.

Checkmarx beschreef wat er aan de hand was. "Voor de echo, vergelijkbaar met de Google Home met stemassistent, luisteren staat centraal. Het apparaat luistert continu om u te betrappen op het uitspreken van het wake-word (bijv. 'Alexa'), zodat het u direct kan geven wat u nodig heeft, ' zei Checkmarx.

Maar onderzoekers werden nieuwsgierig. Kan Echo een gebruiker opnemen zonder dat de gebruiker weet dat hij is opgenomen? Zou dit een stille afluisteraar kunnen zijn, dienst doen als tapapparaat?

"Amazon Echo (met zijn virtuele assistent bekend als Alexa) is de meest verkochte Intelligent Personal Assistant (IPA) ooit, met tot nu toe meer dan 31 miljoen verkochte apparaten, "zei Checkmarx. "Echter, met zijn stijgende populariteit, een van de grootste zorgen bij IPA's is privacy, " en ze merkten op dat bezorgdheid onder meer bestond uit de angst om onbewust opgenomen te worden.

Maty Siman en Shimi Eshkenazi werkten in het Checkmarx-lab om te zien wat er zou kunnen gebeuren als ze zouden proberen hun Amazon Echo in een afluisterapparaat te veranderen.

Bedrade weerspiegelde hoe ze niet eens betrokken hoefden te raken bij het hacken van de stemassistent om er een spion van te maken; afluisteren kwam van slechts een slimme codering.

Lily Hay Newman schreef over hoe ze het hadden uitgewerkt. Ze zei dat de onderzoekers "een kwaadaardige Alexa-applet hebben gemaakt - bekend als een 'vaardigheid' - die kan worden geüpload naar Amazon's Skill Store."

(Maar wat is Skill? Ng legde uit dat Alexa Skills gebruikt om commando's uit te voeren. "Je vraagt ​​of er regen komt, bijvoorbeeld, en Alexa gebruikt de 'Weer'-vaardigheid om te antwoorden.")

Newman schreef, "Om een ​​vaardigheid te gebruiken, je moet het activeringswoord van je apparaat uitspreken zodat de microfoon audio via internet kan gaan pendelen voor verwerking. In het voorbeeld van Checkmarx, wanneer de gebruiker vervolgens zijn ingeschakelde rekenmachine vraagt ​​om wat eenvoudige wiskunde te doen, dat verzoek wordt doorgestuurd naar de vaardigheid, die het antwoord geeft."

Daar werd het interessant. Hoewel de interactie daar zou eindigen, en de microfoon stopt met zenden, het team programmeerde de vaardigheid zo dat "een ontwikkelaarsfunctionaliteit genaamd 'shouldEndSession' de Echo automatisch zou laten luisteren voor een andere cyclus." En, met verdere stappen van de kant van de onderzoekers, ze ontdekten dat de Echo stil zou blijven en een gebruiker niet zou laten weten dat de sessie doorging.

Checkmarx vertelde Amazon over hun aanvalsscenario en Amazon luisterde (geen sarcasme bedoeld).

Checkmarx somde enkele van de maatregelen op die werden genomen:Specifieke criteria vaststellen om afluistervaardigheden tijdens certificering te identificeren (en indien nodig af te wijzen); het detecteren van lege-reprompts en het nemen van passende maatregelen; het detecteren van langer dan gebruikelijke sessies en het nemen van passende maatregelen.

Ng in CNET:Checkmarx zei dat de fixes van Amazon het onmogelijk maakten om dezelfde afluistertactiek te herhalen. Wat betreft de reactie van Amazon, naar binnen gedragen Bedrade :Een woordvoerder van het bedrijf in een verklaring zei dat, "We hebben maatregelen getroffen om dit soort vaardigheidsgedrag te detecteren en die vaardigheden af ​​te wijzen of te onderdrukken wanneer we dat doen."

© 2018 Tech Xplore