Berta Sándor
Lehallgatóeszközzé alakítható át az Amazon Echo
Ehhez azonban a támadónak fizikailag hozzá kell férnie az okoshangszóróhoz.
Mark Barnes, az MWR InfoSecurity biztonsági tanácsadója talált egy olyan lehetőséget, amelyet kihasználva a támadók úgy alakíthatják át az Amazon Echo okoshangszórót, hogy az észrevétlenül lehallgatja a felhasználót és minden megszerzett adatot továbbít az illetőnek. Ugyan a manipuláció fizikai beavatkozás nélkül nem lehetséges, de a hozzáférés nem hagy hátra látható nyomokat és az Amazon Echo funkcióit sem korlátozza. A manipuláció a 2015-ös és 2016-os Amazon Echo modelleket érinti, a 2017-es és az Amazon Dot modelleket viszont nem.
A támadásra azért van lehetőség, mert az eszköz alján van egy karbantartási port, amely szabadon hozzáférhető és amely lehetővé teszi, hogy az okoshangszóró egy külső memóriakártyáról is bootolható legyen. Ezt használhatja ki egy támadó, aki hozzáférhet az alkalmazott Linux operációs rendszerhez, hogy elvégezze a szükséges módosításokat. A biztonsági tanácsadó azt mondta, hogy egy ártó szándékú személy csatlakoztathatja az eszközét a karbantartási porthoz, majd elég várnia egy percet és máris lehetősége nyílik arra, hogy rendszergazdai jogokkal rendelkezzen az egész operációs rendszer felett.
A szakértő azt is megvizsgálta, hogy az Amazon Echo miként dolgozza fel a hangutasításokat. Az általa kifejlesztett szkript képes volt arra, hogy az összes audiofájlt egy külső szerverre streamelje, azaz az eszköz környezetében folytatott minden beszélgetés lehallgatható. Ugyanakkor az okoshangszóró mikrofonja elnémítható, ráadásul ahhoz a támadó sem férhet hozzá. Az Amazon azt hangsúlyozta, hogy a számára nagyon fontos ügyfelei bizalma, ezért azt ajánlják az embereknek, hogy a cégnél vagy egy megbízható kereskedőnél szerezzék be a termékeket és a legújabb verzióra frissítsék azok szoftvereit.
Mark Barnes, az MWR InfoSecurity biztonsági tanácsadója talált egy olyan lehetőséget, amelyet kihasználva a támadók úgy alakíthatják át az Amazon Echo okoshangszórót, hogy az észrevétlenül lehallgatja a felhasználót és minden megszerzett adatot továbbít az illetőnek. Ugyan a manipuláció fizikai beavatkozás nélkül nem lehetséges, de a hozzáférés nem hagy hátra látható nyomokat és az Amazon Echo funkcióit sem korlátozza. A manipuláció a 2015-ös és 2016-os Amazon Echo modelleket érinti, a 2017-es és az Amazon Dot modelleket viszont nem.
A támadásra azért van lehetőség, mert az eszköz alján van egy karbantartási port, amely szabadon hozzáférhető és amely lehetővé teszi, hogy az okoshangszóró egy külső memóriakártyáról is bootolható legyen. Ezt használhatja ki egy támadó, aki hozzáférhet az alkalmazott Linux operációs rendszerhez, hogy elvégezze a szükséges módosításokat. A biztonsági tanácsadó azt mondta, hogy egy ártó szándékú személy csatlakoztathatja az eszközét a karbantartási porthoz, majd elég várnia egy percet és máris lehetősége nyílik arra, hogy rendszergazdai jogokkal rendelkezzen az egész operációs rendszer felett.
A szakértő azt is megvizsgálta, hogy az Amazon Echo miként dolgozza fel a hangutasításokat. Az általa kifejlesztett szkript képes volt arra, hogy az összes audiofájlt egy külső szerverre streamelje, azaz az eszköz környezetében folytatott minden beszélgetés lehallgatható. Ugyanakkor az okoshangszóró mikrofonja elnémítható, ráadásul ahhoz a támadó sem férhet hozzá. Az Amazon azt hangsúlyozta, hogy a számára nagyon fontos ügyfelei bizalma, ezért azt ajánlják az embereknek, hogy a cégnél vagy egy megbízható kereskedőnél szerezzék be a termékeket és a legújabb verzióra frissítsék azok szoftvereit.