“Alexa, você está me espionando?” – aaaa ….. mmmm ….. hmmm ….. talvez !!!
Pesquisadores de segurança desenvolveram uma nova ‘habilidade’ maliciosa para o popular assistente de voz da Amazon, Alexa, que pode transformar seu Amazon Echo em um dispositivo de espionagem completo.
O Amazon Echo é um alto-falante doméstico inteligente ativado por voz sempre em escuta que permite realizar tarefas usando sua voz, como tocar música, definir alarmes e responder perguntas.
No entanto, o dispositivo não permanece ativado o tempo todo. em vez disso, ele dorme até que o usuário diga “Alexa” e, por padrão, encerra uma sessão após algum tempo.
A Amazon também permite que os desenvolvedores criem aplicativos personalizados de ‘habilidades’, para o Alexa, que é o cérebro por trás de milhões de dispositivos inteligentes ativados por voz, incluindo o Amazon Echo Show, o Echo Dot e o Amazon Tap.
No entanto, os pesquisadores de segurança da Checkmarx criaram uma “habilidade” de demonstração de conceito para Alexa que força o dispositivo a gravar indefinidamente a voz surround para escutar secretamente as conversas dos usuários e também envia as transcrições completas para uma terceira parte. local na rede Internet.
Disfarçada de calculadora simples para resolver problemas matemáticos, a habilidade maliciosa, se instalada, é imediatamente ativada em segundo plano depois que um usuário diz “Alexa, calculadora aberta”.
“A habilidade da calculadora é inicializada e a função API \ Lambda associada à habilidade recebe uma solicitação de lançamento como entrada”, disseram os pesquisadores em seu relatório.
Em uma demonstração em vídeo, os pesquisadores mostram que quando um usuário abre uma sessão com o aplicativo calculadora (em segundo plano), ele também cria uma segunda sessão sem indicar verbalmente ao usuário que o microfone ainda está ativo.
Por design, o Alexa deve encerrar uma sessão ou solicitar ao usuário outro comando para manter a sessão aberta. No entanto, o hack poderia permitir que os invasores mantivessem a segunda sessão ativa para espionar os usuários e encerrassem a primeira quando a interação do usuário fosse superada.
Felizmente, você ainda pode identificar o espião em flagrante se notar que a luz azul no seu dispositivo Echo foi ativada por um longo período, especialmente quando você não está conversando com ele.
A Checkmarx relatou o problema para a Amazon, e a empresa já resolveu o problema examinando regularmente as habilidades maliciosas que “promete em silêncio ou que escutam por períodos incomuns de tempo” e as expulsa de sua loja oficial.
Não é o primeiro hack do Alexa demonstrado pelos pesquisadores. No ano passado, um grupo separado de pesquisadores da MWR InfoSecurity mostrou como os hackers podem transformar alguns modelos do Amazon Echo no dispositivo de escuta encoberto.
