मुख्य तथ्य
- शोधकर्ताओं ने कुछ इको स्मार्ट स्पीकर्स को दुर्भावनापूर्ण निर्देशों के साथ ऑडियो फाइलों को चलाने के लिए चकमा देने में कामयाबी हासिल की है।
- डिवाइस वास्तविक उपयोगकर्ताओं के आदेशों के रूप में निर्देशों की व्याख्या करते हैं, जिससे हैकर्स नियंत्रण कर सकते हैं।
- हैकर्स तब हैक किए गए स्पीकर का उपयोग अन्य स्मार्ट उपकरणों को अपने कब्जे में लेने के लिए कर सकते हैं और यहां तक कि उपयोगकर्ताओं को सुनने के लिए भी।
अपने घरों को स्मार्ट उपकरणों से लैस करने की हड़बड़ी में, कई उपयोगकर्ता स्मार्ट स्पीकर द्वारा उत्पन्न सुरक्षा जोखिमों की उपेक्षा करते हैं, सुरक्षा विशेषज्ञों को चेतावनी देते हैं।
कुछ अमेज़ॅन इको उपकरणों में हाल ही में पैच की गई भेद्यता का एक मामला है, जिसका लंदन विश्वविद्यालय और कैटेनिया विश्वविद्यालय, इटली के शोधकर्ता शोषण करने में सक्षम थे और इन स्मार्ट स्पीकरों को खुद को हैक करने के लिए हथियार बनाने के लिए उपयोग करने में सक्षम थे।
"हमारा हमला, एलेक्सा बनाम एलेक्सा (एवीए), इको उपकरणों पर स्व-जारी करने वाले मनमाने आदेशों की भेद्यता का फायदा उठाने वाला पहला है," शोधकर्ताओं ने नोट किया। "हमने सत्यापित किया है कि, एवीए के माध्यम से, हमलावर घर के भीतर स्मार्ट उपकरणों को नियंत्रित कर सकते हैं, अवांछित सामान खरीद सकते हैं, लिंक किए गए कैलेंडर के साथ छेड़छाड़ कर सकते हैं और उपयोगकर्ता की बात सुन सकते हैं।"
मैत्रीपूर्ण आग
अपने पेपर में, शोधकर्ता स्मार्ट स्पीकर को ऑडियो फाइलों को चलाने के लिए उनसे समझौता करने की प्रक्रिया का प्रदर्शन करते हैं। एक बार समझौता करने के बाद, डिवाइस खुद को जगा सकते हैं और रिमोट हमलावर द्वारा जारी किए गए आदेशों को निष्पादित करना शुरू कर सकते हैं। शोधकर्ता प्रदर्शित करते हैं कि कैसे हमलावर हैक किए गए डिवाइस पर डाउनलोड किए गए एप्लिकेशन के साथ छेड़छाड़ कर सकते हैं, फोन कॉल कर सकते हैं, अमेज़ॅन पर ऑर्डर दे सकते हैं, और बहुत कुछ कर सकते हैं।
शोधकर्ताओं ने तीसरी और चौथी पीढ़ी के इको डॉट डिवाइस पर अटैक मैकेनिज्म का सफलतापूर्वक परीक्षण किया।
दिलचस्प बात यह है कि यह हैक दुष्ट वक्ताओं पर निर्भर नहीं करता है, जो हमले की जटिलता को और कम करता है। इसके अलावा, शोधकर्ताओं ने ध्यान दिया कि शोषण की प्रक्रिया काफी सरल है।
AvA तब शुरू होता है जब इको डिवाइस एक ऑडियो फाइल को स्ट्रीम करना शुरू करता है जिसमें वॉयस कमांड होते हैं जो स्पीकर को एक उपयोगकर्ता द्वारा जारी किए गए नियमित कमांड के रूप में स्वीकार करने के लिए छल करते हैं। यहां तक कि अगर डिवाइस किसी विशेष क्रिया को करने के लिए द्वितीयक पुष्टि के लिए कहता है, तो शोधकर्ता अनुपालन को लागू करने के लिए दुर्भावनापूर्ण अनुरोध के लगभग छह सेकंड बाद एक साधारण "हां" कमांड का सुझाव देते हैं।
बेकार कौशल
शोधकर्ताओं ने दुर्भावनापूर्ण रिकॉर्डिंग चलाने के लिए स्मार्ट स्पीकर प्राप्त करने के लिए दो आक्रमण रणनीतियों का प्रदर्शन किया।
एक में, हमलावर को स्पीकर की ब्लूटूथ-पेयरिंग रेंज के भीतर एक स्मार्टफोन या लैपटॉप की आवश्यकता होगी।हालांकि इस अटैक वेक्टर को शुरू में स्पीकर से निकटता की आवश्यकता होती है, एक बार पेयर हो जाने के बाद, हमलावर अपनी मर्जी से स्पीकर से जुड़ सकते हैं, जो उन्हें शुरुआती पेयरिंग के बाद कभी भी वास्तविक अटैक करने की आजादी देता है।
दूसरा, पूरी तरह से दूरस्थ हमले में, हमलावर एक इंटरनेट रेडियो स्टेशन का उपयोग करके इको को दुर्भावनापूर्ण कमांड चलाने के लिए प्राप्त कर सकते हैं। शोधकर्ताओं ने नोट किया कि इस पद्धति में लक्षित उपयोगकर्ता को एक दुर्भावनापूर्ण एलेक्सा कौशल को इको में डाउनलोड करने के लिए धोखा देना शामिल है।
कोई भी एक नया एलेक्सा कौशल बना और प्रकाशित कर सकता है, जिसे एलेक्सा-सक्षम डिवाइस पर चलाने के लिए विशेष विशेषाधिकार की आवश्यकता नहीं है। हालांकि, अमेज़ॅन का कहना है कि एलेक्सा स्किल्स स्टोर पर लाइव होने से पहले सभी सबमिट किए गए कौशल की जांच की जाती है।
इवेंटी के वरिष्ठ उत्पाद प्रबंधक टॉड शेल ने ईमेल के माध्यम से लाइफवायर को बताया कि एवा हमले की रणनीति उन्हें याद दिलाती है कि जब इन उपकरणों को पहली बार पेश किया गया था, तो हैकर्स वाईफाई कमजोरियों का फायदा उठाएंगे, वायरलेस में सेंध लगाने के लिए वाईफाई रेडियो के साथ पड़ोस के आसपास ड्राइविंग डिफ़ॉल्ट पासवर्ड का उपयोग करके एक्सेस पॉइंट (AP)।AP से समझौता करने के बाद, हमलावर या तो अधिक जानकारी के लिए इधर-उधर शिकार करते हैं या केवल बाहरी हमले करते हैं।
"इस नवीनतम [एवीए] हमले की रणनीति के साथ मुझे सबसे बड़ा अंतर यह दिखाई देता है कि हैकर्स को एक्सेस मिलने के बाद, वे बिना किसी काम के मालिक की व्यक्तिगत जानकारी का उपयोग करके जल्दी से संचालन कर सकते हैं," शेल ने कहा।
शैल बताता है कि एवा की नई हमले की रणनीति का दीर्घकालिक प्रभाव इस बात पर निर्भर करेगा कि अपडेट कितनी जल्दी वितरित किए जा सकते हैं, लोगों को अपने उपकरणों को अपडेट करने में कितना समय लगता है, और जब अपडेट किए गए उत्पाद कारखाने से शिपिंग शुरू करते हैं।
बड़े पैमाने पर एवीए के प्रभाव का आकलन करने के लिए, शोधकर्ताओं ने 18 उपयोगकर्ताओं के एक अध्ययन समूह पर एक सर्वेक्षण किया, जिसमें पता चला कि शोधकर्ताओं द्वारा अपने पेपर में हाइलाइट किए गए एवीए के खिलाफ अधिकांश सीमाओं का शायद ही उपयोग किया जाता है। व्यवहार में।
शैल हैरान नहीं है। "रोजमर्रा का उपभोक्ता सभी सुरक्षा मुद्दों के बारे में पहले से नहीं सोच रहा है और आमतौर पर विशेष रूप से कार्यक्षमता पर केंद्रित है।"
