Привет всем

Кибенематика - математическая кибернетика с намеком на отсыл к едреней фене__(АБС)__

понедельник, 20 августа 2018 г.

Исследователи заставили колонки Amazon Echo подслушивать пользователей



   Довольно интересный способ компрометации колонок Amazon Echo продемонстрировали на конференции DEF CON сотрудники китайской компании Tencent. Фактически им удалось превратить колонки Echo в подслушивающие устройства. Так, физически модифицировав один «умный» гаджет, специалисты сумели заставить остальные колонки в той же сети шпионить за своими владельцами.
    С пециалисты рассказали, что использовали «множественные уязвимости, чтобы осуществить удаленную атаку на наиболее популярные “умные” колонки». В итоге гаджеты могут тайно подслушивать своих хозяев, а злоумышленники контролируют все, что «говорит» колонка и не только.
    О существить такую атаку непросто и вряд ли можно ожидать массового применения такого подхода. Эксперты Tencent серьезно модифицировали свою версию Echo: сняли чип флэш-памяти, установили кастомную прошивку, а затем собрали все обратно и вернули колонку в сеть. Нужно заметить, что все эти манипуляции в среднем занимают лишь 15 минут.
     Дело в том, что устройства Echo, находящиеся в одной сети Wi-Fi, могут сообщаться друг с другом, чем и воспользовались исследователи. В итоге модифицированное устройство не только получило возможность «слушать» аудио с других Echo, но и контролировать их, проигрывая произвольные звуки и так далее. Добиться такого эффекта удалось с помощью обращения к интерфейсу Alexa через сайт Amazon и эксплуатации ряда багов, включая URL redirection, даунгрейда HTTPS и XSS.
     Несмотря на кажущуюся сложность и непрактичность, предложенный специалистами вектор атак, по сути, представляет собой вариацию на классическую тему evil made. Дело в том, что «умные» колонки со встроенными помощниками становятся все популярнее и их все чаще устанавливают не только дома, но и в общественных местах (школах, отелях, офисах компаний). Если злоумышленник сумеет получить доступ хотя бы к одной из колонок в такой сети и модифицировать ее, он сможет использовать вредоносную Echo, например, для слежки за конкретным сотрудником какой-то компании.
     В прочем, сообщается, что в настоящее время все обнаруженные экспертами Tencent проблемы уже были устранены.

Комментариев нет:

Отправить комментарий