itkvariat

    Amazon Echo превратили в микрофон для шпионажа




    Хакеры выяснили, как превратить Amazon Echo в микрофон, который можно использовать для шпионажа (прослушивания).

    Как сообщает ресурс Wired, процесс взлома требует физического доступа к устройству. Кроме того взлому поддаются колонки, выпущенные только до 2017 года.

    Для всех остальных колонок этой модели существует возможность записи живого звука из помещения, даже если колонку не включали голосовой командой. Метод также позволяет хакерам удаленно извлекать токены аутентификации и другие конфиденциальные данные с устройства.

    Исследователь Марк Барнс рассказал о возможности такого взлома в своем блоге. То есть хакер тем самым скомпрометировал защиту колонки простой картой SD, использовав ее для перезаписи прошивки Echo.

    После перезапуска прошивки взломанный Echo может отправлять звук, записанный микрофоном, третьим лицам, даже после удаления SD-карты.

    "Доверие клиентов очень важно для нас", - заявила по этому поводу компания Amazon. "Чтобы обеспечить гарантии безопасности, как правило, мы рекомендуем клиентам приобретать наши устройства только в Amazon или у доверенного продавца и постоянно обновлять их программное обеспечение.

    Прием Барнса работает только в версиях Echo выпущенных в 2015 и 2016 годах. Модель 2017 имеет внутреннее аппаратное изменение, которое предотвращает работу SD-карты в качестве периферийного устройства SPI, что как раз и является ключевым элементом взлома. Если колонка Echo не переходит в режим SPI, она не может загружаться непосредственно с SD-карты, а значит - и перепрошиться с нее.

    Однако, несмотря на то, что обновление ПО, выпущенное компанией и блокирует атаку, сам характер хака с изменением прошивки не исключает взлом колонки на уровне программного обеспечения. То есть, любые программные корректировки безопасности, как и другие средства защиты программного обеспечения, созданные Amazon, будут просто переписаны вместе с оригинальной прошивкой. Таким образом, устройства Echo, созданные в 2015 и 2016 годах, скорее всего, будут оставаться уязвимыми для взлома еще очень долгое время. Самое неприятное, что таких, по оценкам аналитиков, на сегодняшний день было закуплено не менее 7 миллионов.

    "Взлом колонки требует физического доступа к ней, что является основным ограничением", - пишет сам Барнс в своем посте. "Однако разработчикам продуктов не следует считать само собой разумеющимся, что их клиенты не будут подвергать свои устройства риску такого доступа, например - в гостиничных номерах".


    Иван Ковалев

    Источник



    Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !

    Поделитесь этой новостью с друзьями!


    Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




    И еще об интересном...
  • Современные умные колонки. Так ли они нам нужны, как мы думаем? Сравнение четырех главных марок.
  • LG G6: большой тест - обзор
  • Кинотеатр "на ушах". Обзор многоканальных наушников объемного звучания
  • Бюджетный и производительный. Компактный NAS-сервер Thecus N2810
  • Java — великий и могучий
  • Струйное многофункциональное устройство Canon PIXMA G3400
  • Домашний мультимедийный NAS-сервер ASUSTOR AS6104T. И хранение и развлечение…


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил

Самое популярное
    

Проверьте скорость вашего интернета!


Что бывало...


Amazon Echo превратили в микрофон для шпионажа




Хакеры выяснили, как превратить Amazon Echo в микрофон, который можно использовать для шпионажа (прослушивания).

Как сообщает ресурс Wired, процесс взлома требует физического доступа к устройству. Кроме того взлому поддаются колонки, выпущенные только до 2017 года.

Для всех остальных колонок этой модели существует возможность записи живого звука из помещения, даже если колонку не включали голосовой командой. Метод также позволяет хакерам удаленно извлекать токены аутентификации и другие конфиденциальные данные с устройства.

Исследователь Марк Барнс рассказал о возможности такого взлома в своем блоге. То есть хакер тем самым скомпрометировал защиту колонки простой картой SD, использовав ее для перезаписи прошивки Echo.

После перезапуска прошивки взломанный Echo может отправлять звук, записанный микрофоном, третьим лицам, даже после удаления SD-карты.

"Доверие клиентов очень важно для нас", - заявила по этому поводу компания Amazon. "Чтобы обеспечить гарантии безопасности, как правило, мы рекомендуем клиентам приобретать наши устройства только в Amazon или у доверенного продавца и постоянно обновлять их программное обеспечение.

Прием Барнса работает только в версиях Echo выпущенных в 2015 и 2016 годах. Модель 2017 имеет внутреннее аппаратное изменение, которое предотвращает работу SD-карты в качестве периферийного устройства SPI, что как раз и является ключевым элементом взлома. Если колонка Echo не переходит в режим SPI, она не может загружаться непосредственно с SD-карты, а значит - и перепрошиться с нее.

Однако, несмотря на то, что обновление ПО, выпущенное компанией и блокирует атаку, сам характер хака с изменением прошивки не исключает взлом колонки на уровне программного обеспечения. То есть, любые программные корректировки безопасности, как и другие средства защиты программного обеспечения, созданные Amazon, будут просто переписаны вместе с оригинальной прошивкой. Таким образом, устройства Echo, созданные в 2015 и 2016 годах, скорее всего, будут оставаться уязвимыми для взлома еще очень долгое время. Самое неприятное, что таких, по оценкам аналитиков, на сегодняшний день было закуплено не менее 7 миллионов.

"Взлом колонки требует физического доступа к ней, что является основным ограничением", - пишет сам Барнс в своем посте. "Однако разработчикам продуктов не следует считать само собой разумеющимся, что их клиенты не будут подвергать свои устройства риску такого доступа, например - в гостиничных номерах".


Иван Ковалев

Источник



Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !

Поделитесь этой новостью с друзьями!


Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  




И еще об интересном...
  • Современные умные колонки. Так ли они нам нужны, как мы думаем? Сравнение четырех главных марок.
  • LG G6: большой тест - обзор
  • Кинотеатр "на ушах". Обзор многоканальных наушников объемного звучания
  • Бюджетный и производительный. Компактный NAS-сервер Thecus N2810
  • Java — великий и могучий
  • Струйное многофункциональное устройство Canon PIXMA G3400
  • Домашний мультимедийный NAS-сервер ASUSTOR AS6104T. И хранение и развлечение…


  • А что вы думаете? Напишите в комментариях!
    Кликните на изображение чтобы обновить код, если он неразборчив



    В комментариях запрещено использовать ненормативную лексику, оскорблять других пользователей сайта, запрещены активные ссылки на сторонние сайты и реклама в комментариях. Уважаемые читатели! Просим вас, оставляя комментарии, уважать друг друга и не злоупотреблять свободой слова. Пользователи, которые нарушают эти правила грубо или систематически, будут заблокированы.

    Полная версия правил
    ITквариат Powered by © 1996-2022