Хакеры выяснили, как превратить Amazon Echo в микрофон, который можно использовать для шпионажа (прослушивания).
Как сообщает ресурс Wired, процесс взлома требует физического доступа к устройству. Кроме того взлому поддаются колонки, выпущенные только до 2017 года.
Для всех остальных колонок этой модели существует возможность записи живого звука из помещения, даже если колонку не включали голосовой командой. Метод также позволяет хакерам удаленно извлекать токены аутентификации и другие конфиденциальные данные с устройства.
Исследователь Марк Барнс рассказал о возможности такого взлома в своем блоге. То есть хакер тем самым скомпрометировал защиту колонки простой картой SD, использовав ее для перезаписи прошивки Echo.
После перезапуска прошивки взломанный Echo может отправлять звук, записанный микрофоном, третьим лицам, даже после удаления SD-карты.
"Доверие клиентов очень важно для нас", - заявила по этому поводу компания Amazon. "Чтобы обеспечить гарантии безопасности, как правило, мы рекомендуем клиентам приобретать наши устройства только в Amazon или у доверенного продавца и постоянно обновлять их программное обеспечение.
Прием Барнса работает только в версиях Echo выпущенных в 2015 и 2016 годах. Модель 2017 имеет внутреннее аппаратное изменение, которое предотвращает работу SD-карты в качестве периферийного устройства SPI, что как раз и является ключевым элементом взлома. Если колонка Echo не переходит в режим SPI, она не может загружаться непосредственно с SD-карты, а значит - и перепрошиться с нее.
Однако, несмотря на то, что обновление ПО, выпущенное компанией и блокирует атаку, сам характер хака с изменением прошивки не исключает взлом колонки на уровне программного обеспечения. То есть, любые программные корректировки безопасности, как и другие средства защиты программного обеспечения, созданные Amazon, будут просто переписаны вместе с оригинальной прошивкой. Таким образом, устройства Echo, созданные в 2015 и 2016 годах, скорее всего, будут оставаться уязвимыми для взлома еще очень долгое время. Самое неприятное, что таких, по оценкам аналитиков, на сегодняшний день было закуплено не менее 7 миллионов.
"Взлом колонки требует физического доступа к ней, что является основным ограничением", - пишет сам Барнс в своем посте. "Однако разработчикам продуктов не следует считать само собой разумеющимся, что их клиенты не будут подвергать свои устройства риску такого доступа, например - в гостиничных номерах".
Иван Ковалев
ИсточникОбразование – это не просто диплом или сертификат, но и нужные знания, практические умения, которые необходимы для
Мало кто знает, но в отличие от обычного мобильного хранилища iCloud, основная медиатека iCloud хранит полные версии
Что нужно учесть если решили взять сервер в аренду. Чек-лист позволит избежать большинство проблем еще на этапе выбора
