2022/03/06

Amazon Echo vulnerável a ataques com comandos dados a si próprio

Investigadores demonstraram como se podem usar os Amazon Echo para darem comandos a si próprios para fazerem acções indesejadas.

Há alguns anos atrás vimos como era possível usar raios laser para enviar comandos inaudíveis aos Amazon Echo e Google Home, desta vez os investigadores dispensam os lasers e qualquer dispositivo adicional, usando simplesmente os próprios Echo.

Desta vez os investigadores tiraram partido da capacidade dos Echo escutarem aquilo que eles próprios podem emitir, conseguindo fazer com que eles dessem comandos a si próprios.
O ataque acaba por ser uma variante daquilo que no passado já podia acontecer quando uma rádio emitia um "Ok Google" ou "Hey Alexa" e activava indevidamente os smart devices pela casa; desta vez ficando dependente de um atacante conseguir emparelhar o seu smartphone com um Amazon Echo (o que pode ser feito via comando de voz) ou usando um skill malicioso. Depois, bastaria ir emitindo os comandos desejados - e tendo em conta que hoje em dia será possível ter coisas como fechaduras electrónicas controladas via Alexa, os riscos seriam muito mais vastos que simplesmente gastar dinheiro à vítima pedindo para fazer compras indesejadas na Amazon.


A Amazon já aplicou algumas correcções que minimizam este tipo de ataques, mas ainda assim os investigadores recomendam que os utilizadores que queiram estar mais descansados contra esta possibilidade optem por activar o mute dos seus Echo quando não estão por perto, para que seja impossível reagirem a qualquer tipo de comando de voz não intencional.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]