Beveiligingsonderzoekers veranderden zichzelf deze maand in hackers om te demonstreren hoe een slimme luidspreker in een spion kan worden veranderd. De onderzoekers namen hun verhaal mee naar DefCon 2018. Ze zeiden dat ze op afstand afluisteren. Beiden zijn onderzoekers van het Tencent Blade Team. Conferentienotities beschreven Wu HuiYu als een bug-jager en zei dat Qian Wenxiang's focus lag op beveiligingsonderzoek van IoT-apparaten.

In de tussentijd, Bedrade werd voorzien van een beschrijving van het werk van de hackers. "Na enkele maanden onderzoek, we breken met succes de Amazon Echo door meerdere kwetsbaarheden in het Amazon Echo-systeem te gebruiken, en [bereiken] afluisteren op afstand, " Lees de beschrijving.

Paul Lilly, HotHardware , was een van de vele tech-watchers die een kijkje namen naar hoe ver ze kwamen en wat het allemaal suggereert. Ten eerste, we moeten duidelijk maken wat ze konden doen, voordat je wakker wordt van je slimme luidsprekers.

Wu Huiyu en Qian Wenxiang onderzochten aanvallen om een ​​spreker in gevaar te brengen die als redelijk veilig werd beschouwd.

Geen enkele waarnemer vond hun methode echter triviaal. Er was weinig behoefte om amateurs te waarschuwen om het niet thuis te proberen zoals hun werk was, goed, kom op. Jon Fingas in Engadget :"Het klinkt snode, maar het vereist meer stappen dan voor de meeste indringers haalbaar zou zijn."

Hun aanval, zei HotHardware , "vereist het aanschaffen en fysiek aanpassen van een Echo-luidspreker door de ingebouwde flash-chip te verwijderen, zodat de hackers hun eigen aangepaste firmware erop konden schrijven, en dan weer op zijn plaats te solderen." er waren voorwaarden. "De aangepaste Echo moet zich op hetzelfde wifi-netwerk bevinden als de doelluidspreker, ' zei Lilly.

Tech-watchers merkten op dat er weinig reden was om bang te zijn dat hun methode in het wild zou worden gebruikt. "Zoals het er nu voor staat, " zei Jon Fingas in Engadget , "de kans op een echte aanval was klein. Een potentiële afluisteraar zou moeten weten hoe hij de Echo moet demonteren, identificeer (en maak verbinding met) een netwerk met andere Echo's en keten meerdere exploits."

Wat betreft echo, presenteerden de onderzoekers hun bevindingen aan Amazon, die oplossingen naar buiten bracht om de gaten in de beveiliging te dichten die dit type aanval mogelijk maakten.

Dus wat zijn de geleerde lessen, dan, als Amazon al fixes heeft gepusht? Een aanhoudende gedachte die door verschillende schrijvers over het incident wordt gedeeld, is dat de aanwezigheid van slimme luidsprekers erg in het zicht is van beveiligingshonden die zich zorgen maken over de manier waarop luidsprekers gebruikmaken van slimme apparaten voor thuisgebruik, en beveiligingssystemen. Ogen zijn slimme luidsprekers als nog een ander toegangspunt voor mensen met criminele bedoelingen.

Schreef Lilly:"Wat de aanval laat zien, echter, is dat hardnekkige hackers manieren kunnen vinden om op internet aangesloten luidsprekers zoals de Echo aan te vallen, zelfs als de methoden veel werk vergen."

Fingas:"Als er een grotere zorg is, het is dat dit aantoont dat een snuffelexploit in de eerste plaats mogelijk is - hoe onwaarschijnlijk het ook is."

In de toelichting bij hun lezing op DefCon, de twee zeiden dat ze probeerden meerdere kwetsbaarheden te presenteren om een ​​aanval op afstand op sommige slimme luidsprekers uit te voeren.

"Onze laatste aanvalseffecten omvatten stil luisteren, controle over spreker sprekende inhoud en andere demonstraties." Ze noemden root-privileges door firmware-inhoud te wijzigen en Flash-chips opnieuw te solderen. "Tot slot, we zullen verschillende demovideo's afspelen om te demonstreren hoe we op afstand toegang kunnen krijgen tot sommige Smart Speaker Root-machtigingen en slimme luidsprekers kunnen gebruiken voor afluisteren en het afspelen van spraak."

© 2018 Tech Xplore