Belangrijkste afhaalrestaurants
- Onderzoekers zijn erin geslaagd een aantal slimme Echo-luidsprekers te misleiden om audiobestanden af te spelen die zijn doorspekt met kwaadaardige instructies.
- De apparaten interpreteren de instructies als opdrachten van echte gebruikers, waardoor hackers de controle kunnen overnemen.
- Hackers kunnen vervolgens de gehackte luidsprekers gebruiken om andere slimme apparaten over te nemen en zelfs de gebruikers af te luisteren.
In de haast om hun huizen te voorzien van slimme apparaten, negeren veel gebruikers de beveiligingsrisico's van slimme luidsprekers, waarschuwen beveiligingsexperts.
Een voorbeeld hiervan is de recentelijk gepatchte kwetsbaarheid in sommige Amazon Echo-apparaten, die onderzoekers van de Universiteit van Londen en de Universiteit van Catania, Italië, konden exploiteren en gebruiken om deze slimme luidsprekers te bewapenen om zichzelf te hacken.
"Onze aanval, Alexa versus Alexa (AvA), is de eerste die misbruik maakt van de kwetsbaarheid van zelf-uitgevende willekeurige commando's op Echo-apparaten", merkten de onderzoekers op. "We hebben geverifieerd dat aanvallers via AvA slimme apparaten in het huishouden kunnen bedienen, ongewenste items kunnen kopen, met gekoppelde agenda's kunnen knoeien en de gebruiker kunnen afluisteren."
Vriendelijk vuur
In hun paper demonstreren de onderzoekers het proces van het compromitteren van de slimme luidsprekers door ze audiobestanden te laten afspelen. Eenmaal gecompromitteerd, kunnen de apparaten zichzelf wakker maken en beginnen met het uitvoeren van opdrachten van de externe aanvaller. De onderzoekers laten zien hoe aanvallers kunnen knoeien met applicaties die zijn gedownload op het gehackte apparaat, kunnen bellen, bestellingen kunnen plaatsen op Amazon en meer.
De onderzoekers hebben het aanvalsmechanisme met succes getest op Echo Dot-apparaten van de derde en vierde generatie.
Interessant is dat deze hack niet afhankelijk is van malafide luidsprekers, wat de complexiteit van de aanval verder vermindert. Bovendien merken de onderzoekers op dat het exploitatieproces vrij eenvoudig is.
AvA begint wanneer het Echo-apparaat een audiobestand begint te streamen dat spraakopdrachten bevat die de luidsprekers misleiden om ze te accepteren als normale opdrachten van een gebruiker. Zelfs als het apparaat om een secundaire bevestiging vraagt om een bepaalde actie uit te voeren, stellen de onderzoekers een eenvoudig "ja"-commando voor ongeveer zes seconden nadat het kwaadwillende verzoek voldoende is om naleving af te dwingen.
Nutteloze vaardigheid
De onderzoekers demonstreren twee aanvalsstrategieën om de slimme luidsprekers de kwaadaardige opname te laten afspelen.
In één geval zou de aanvaller een smartphone of laptop nodig hebben binnen het Bluetooth-koppelingsbereik van de luidsprekers. Hoewel deze aanvalsvector in eerste instantie nabijheid van de luidsprekers vereist, kunnen de aanvallers, eenmaal gekoppeld, naar believen verbinding maken met de luidsprekers, waardoor ze de vrijheid hebben om de daadwerkelijke aanval op elk moment na de eerste koppeling uit te voeren.
Bij de tweede aanval op afstand kunnen de aanvallers een internetradiostation gebruiken om de Echo de kwaadaardige commando's te laten afspelen. De onderzoekers merken op dat deze methode inhoudt dat de beoogde gebruiker wordt misleid om een kwaadaardige Alexa-vaardigheid naar de Echo te downloaden.
Iedereen kan een nieuwe Alexa-vaardigheid maken en publiceren, waarvoor geen speciale privileges nodig zijn om op een Alexa-apparaat te draaien. Amazon zegt echter dat alle ingediende vaardigheden worden doorgelicht voordat ze live gaan in de Alexa-vaardighedenwinkel.
Todd Schell, Senior Product Manager bij Ivanti, vertelde Lifewire via e-mail dat de AvA-aanvalsstrategie hem eraan herinnert hoe hackers wifi-kwetsbaarheden zouden misbruiken toen deze apparaten voor het eerst werden geïntroduceerd, door buurten te rijden met een wifi-radio om in te breken in draadloze netwerken toegangspunten (AP) met standaardwachtwoorden. Na het compromitteren van een AP, gingen de aanvallers op zoek naar meer details of voerden ze gewoon naar buiten gerichte aanvallen uit.
"Het grootste verschil dat ik zie met deze nieuwste [AvA]-aanvalsstrategie is dat nadat de hackers toegang hebben gekregen, ze snel operaties kunnen uitvoeren met behulp van de persoonlijke informatie van de eigenaar zonder veel werk," zei Schell.
Schell wijst erop dat de langetermijnimpact van AvA's nieuwe aanvalsstrategie zal afhangen van hoe snel updates kunnen worden gedistribueerd, hoe lang het duurt voordat mensen hun apparaten updaten en wanneer de bijgewerkte producten vanaf de fabriek worden verzonden.
Om de impact van AvA op grotere schaal te beoordelen, hebben de onderzoekers een enquête gehouden onder een studiegroep van 18 gebruikers, waaruit bleek dat de meeste beperkingen tegen AvA, die door de onderzoekers in hun paper worden benadrukt, nauwelijks worden gebruikt in de praktijk.
Schell is niet verbaasd. "De dagelijkse consument denkt niet van tevoren na over alle beveiligingsproblemen en is meestal uitsluitend gericht op functionaliteit."
