Une «écoute électronique» de validation de concept sur l'écho amazonien est intéressante, mais pas alarmante

Table des matières:

Obtenez plus d'écho
Amazon Echo

Il y a plusieurs façons de penser à la sécurité en ce qui concerne nos appareils connectés. L'un est binaire. Soit ils sont en sécurité et ne pas être activement exploités, soit ils ne le sont pas.

Je prends une tactique différente. Je regarde mes appareils connectés et suppose que quelqu'un peut me voir ou m'entendre à travers eux et travailler à partir de là quand il s'agit d'exploits et de piratages annoncés publiquement. Comment se fait le hack? Est-ce que cela nécessite un accès physique à l'appareil? Dois- je d'abord y faire quelque chose, comme installer une application à partir d'une source spécieuse? Est-ce quelque chose d'un peu plus effrayant, comme la récente vulnérabilité Broadcom? Et quel est l'historique du fabricant de matériel en matière de mises à jour?

Des choses importantes, toutes. Et quelque chose à garder à l'esprit lorsque nous examinons la récente divulgation d'un "piratage" d'Amazon Echo, comme détaillé dans Wired. Plus précisément, nous parlons des modèles 2015 et 2016. Donc, si vous en avez acheté une cette année, tout devrait bien se passer.

Sauf si vous êtes la cible active d'un pirate informatique, nécessiter un accès physique à un appareil signifie généralement que vous serez OK.

La version courte est la suivante: ces modèles Echo antérieurs ont été fabriqués de manière à ce que quelqu'un puisse physiquement attacher un peu de matériel supplémentaire à l'Echo (une carte SD amorçable, en réalité), cachée à l'abri des regards sous les pieds en caoutchouc. Cela leur permettrait d'écouter ce qui se disait, de l'enregistrer et de le déclencher n'importe où le hacker le souhaiterait. (C'est en plus d'autres méchanceté.)

Il y a quelques points à garder à l'esprit ici, et c'est quelque chose que la rédaction de l'exploit considère à juste titre.

Tout d’abord, le pirate aurait besoin d’un accès physique à votre écho. Et si vous êtes déjà une cible active et que quelqu'un est capable d'entrer chez vous, vous avez des problèmes bien plus importants que ceux d'Alexa à l'écoute. (Par exemple, créer un vrai bogue ailleurs. Ou plusieurs autres.)

Deuxièmement: le pirate aurait besoin d’un accès physique à votre écho. Ce n'est pas qu'un logiciel. Il convient de mentionner deux fois.

Cela ne veut pas dire qu'il n'y a pas de scénarios dans lesquels je pourrais m'inquiéter un peu plus, cependant. Le texte original mentionnait également que le problème le plus important (encore que théorique, car tout cela faisait partie de la preuve de concept) pourrait se trouver dans des endroits tels que les hôtels, où davantage de personnes ont accès.

En décembre 2016, les hôtels Wynn à Vegas ont annoncé qu'ils auraient un écho dans chaque chambre. Bien que je ne déteste pas l'idée de contrôler les lumières et les stores avec ma voix, une chambre d'hôtel est exactement le genre d'endroit où je n'aurais pas confiance en ce genre de chose. Mais d'un autre côté, je ne sais pas non plus si un hôtel casino - qui est déjà câblé plus que n'importe quel autre endroit que vous pouvez visiter sans autorisation de sécurité - n'écoute pas déjà tout ce que je fais.

Choisissez votre poison, vraiment.

Un écho potentiellement piraté dans une chambre d'hôtel? C'est une autre histoire.

Donc voilà. C'est un exploit potentiel intéressant. Mais c’est ce qui exige que je dispose d’un ancien écho d’Amazon. À la maison, je peux me corriger moi-même. (Choisissez-en un qui ne porte pas le numéro de modèle 23-002518-01.) Un attaquant doit également avoir un accès physique à mon écho, ce qui est encore pire pour moi pour une foule d'autres raisons.

Et enfin (ou plutôt en premier), il faut que je sois une cible. Ce n'est pas quelque chose que vous pouvez simplement tomber en marchant dans la rue ou en vous connectant au réseau Wifi de quelqu'un.

Pour l'instant? Je suis juste un gars avec un Amazon Echo qui va encore bien dormir la nuit.