Los atacantes pueden obligar a Amazon Echos a piratearse con sus propios comandos

Investigadores académicos han creado un nuevo exploit que usa parlantes inteligentes Amazon Echo y los obliga a abrir puertas, hacer llamadas telefónicas y compras no autorizadas, y controlar hornos, microondas y otros dispositivos inteligentes.

El ataque funciona utilizando el altavoz del dispositivo para emitir comandos de voz. Investigadores de Royal Holloway en Londres y la Universidad de Catania en Italia descubrieron que siempre que el habla contenga la palabra de activación del dispositivo (generalmente «Alexa» o «Echo») seguida de un comando permitido, Echo lo ejecutará. Incluso cuando los dispositivos requieren confirmación verbal antes de ejecutar comandos confidenciales, es trivial evitar la acción agregando «sí» unos seis segundos después de que se emite el comando. Los atacantes también podrían explotar lo que los investigadores llaman «FVV», o vulnerabilidad de volumen completo, que permite a Echos emitir comandos autónomos sin reducir temporalmente el volumen del dispositivo.

Alexa, ve a hackearte

Dado que el hack utiliza la funcionalidad de Alexa para obligar a los dispositivos a emitir comandos autónomos, los investigadores lo han denominado «AvA», abreviatura de Alexa versus Alexa. Solo toma unos segundos acercarse a un dispositivo vulnerable mientras está encendido para que un atacante pronuncie un comando de voz que le indica que se empareje con el dispositivo habilitado para Bluetooth del atacante. Mientras el dispositivo permanezca dentro del alcance inalámbrico de Echo, el atacante podrá emitir comandos.

Escribiendo en la revista Echo, los investigadores escribieron que el ataque «es el primero de su tipo que explota la vulnerabilidad de los autocomandos arbitrarios en los dispositivos Echo, lo que permite a los atacantes controlarlos durante un período prolongado de tiempo». papel Publicado hace dos semanas. «Con este trabajo, eliminamos la necesidad de tener un altavoz externo cerca del dispositivo de destino, lo que aumenta la probabilidad general de un ataque».

Una forma de ataque utiliza una estación de radio maliciosa para generar comandos autónomos. Este ataque ya no es posible de la manera descrita en el documento después de los parches de seguridad que Echo-aker Amazon lanzó en respuesta a la investigación. Los investigadores han confirmado que los ataques funcionan contra dispositivos Echo Dot de tercera y cuarta generación.

AvA comienza cuando un dispositivo Echo vulnerable se conecta a través de Bluetooth al dispositivo del atacante (y para Echos sin parches, cuando reproducen la estación de radio maliciosa). De ahora en adelante, el atacante puede usar una aplicación de texto a voz u otros medios para transmitir comandos de voz. Aquí hay un video de AvA en acción. Todas las formas de ataque siguen siendo viables, excepto lo que aparece entre el 1:40 y el 2:14:

Los investigadores han descubierto que pueden usar AvA para obligar a los dispositivos a realizar una serie de comandos, muchos de los cuales tienen graves consecuencias para la privacidad o la seguridad. Las posibles acciones dañinas incluyen:

• Controle otros dispositivos inteligentes, como apagar las luces, encender un horno de microondas inteligente, configurar la calefacción a una temperatura insegura o abrir cerraduras de puertas inteligentes. Como se mencionó anteriormente, cuando Echos requiere confirmación, el oponente solo necesita agregar un «sí» al comando unos seis segundos después de la solicitud.
• Llame a cualquier número de teléfono, incluido el controlado por el atacante, para que se puedan escuchar los sonidos cercanos. Si bien Echos usa una luz para indicar que están en una llamada, los dispositivos no siempre son visibles para los usuarios y es posible que los usuarios menos experimentados no sepan lo que significa la luz.
• Realizar compras no autorizadas utilizando la cuenta de Amazon de la víctima. Aunque Amazon enviará un correo electrónico para notificar a la víctima de la compra, es posible que se pierda el correo electrónico o que el usuario pierda la confianza en Amazon. Alternativamente, los atacantes también podrían eliminar elementos que ya están en el carrito de compras de la cuenta.
• Manipular el calendario previamente vinculado de un usuario para agregar, mover, eliminar o modificar eventos.
• Habilidades de suplantación de identidad o iniciar cualquier habilidad a elección del atacante. Esto, a su vez, podría permitir a los atacantes obtener contraseñas y datos personales.
• Recordar todas las declaraciones hechas por la víctima. Usando lo que los investigadores llaman un «ataque de máscara», un adversario puede interceptar comandos y almacenarlos en una base de datos. Esto puede permitir que el oponente extraiga datos privados, recopile información sobre las habilidades utilizadas e infiera los hábitos de los usuarios.

Los investigadores escribieron:

A través de estas pruebas, hemos demostrado que AvA se puede usar para dar órdenes aleatorias de cualquier tipo y duración, con resultados perfectos; en particular, un atacante puede controlar luces inteligentes con una tasa de éxito del 93 % y comprar con éxito artículos no deseados en Amazon. 100% de las veces y en mal estado [with] Calendario asociado con una tasa de éxito del 88 %. Los comandos complejos que deben identificarse correctamente en su totalidad para tener éxito, como llamar a un número de teléfono, tienen una tasa de éxito casi perfecta, en este caso del 73 %. Además, los resultados que se muestran en la Tabla 7 muestran que el atacante puede configurar con éxito un ataque de enmascaramiento de audio a través de la habilidad de ataque de máscara sin ser detectado, y todas las palabras habladas se pueden recuperar y almacenar en la base de datos del atacante, es decir, 41 en nuestro caso. .