Bir Amazon Yankı'nız varsa, uyanık bir kelimeden fazlasını dinliyor

Amazon Echo ve Alexa, tüm akıllı hoparlör kategorisine öncülük etti ve gözlerimizi (ve kulaklarımızı) her zaman açık, her zaman dinleyen bir cihazın yapabileceği şeye açtılar. Sorularınızı yanıtlar, akıllı evinizi kontrol eder, müzik çalar, gününüzü düzenlemenize yardımcı olur, haberleri okur ve TV'nizi kontrol eder. Alexa’nın yetenekleri her geçen gün büyüyor!



Ancak tüm bu rahatlıkla, her zaman dinleyen bir gadget her zaman gizlilik ve siber güvenlik endişelerini artıracaktır. Akıllı bir hacker, Alexa'yı gizli bir gözetim asistanına dönüştürebilecek bir kusur bulursa ne olur? Bu, milyonlarca ve milyonlarca Amazon Echo sahibine tam bir güvenlik kabusu olabilir.

Ve güvenlik araştırmacıları tam olarak bunu buldu. Alexa'nın nasıl tepki verdiğine dair bir boşluk açarak, kurnaz bir geliştiricinin sizi süresiz olarak kaydetmek için onu kandırabildiğini keşfettiler! Okumaya devam edin ve size bu istismarın nasıl çalıştığını ve kendinizi ve ailenizi bu tür saldırılara karşı nasıl koruyacağınızı anlatacağım.





Alexa kandırılabilir

Siber güvenlik firması Checkmarx'taki araştırmacılar, Amazon'un Alexa sanal asistanında, çevresini süresiz olarak dinlemek için kandırabilecek bir kusur keşfettiklerini açıkladı.

Gizli silahları mı? Etkinleştirildikten çok sonra kullanıcılarını dinlemeye devam edebilen özel bir Yankı becerisi. Not: Yankı becerileri, akıllı telefonlardaki uygulamalara benzer.



Checkmarx’in ürün pazarlama direktörü Amit Ashbel, “Anlayabildiğimiz kadarıyla sınır yoktu” dedi. “Durmasını söylemediğiniz sürece, durmaz.”



Bu ne anlama geliyor? Doğru know-how'a sahip bir hacker, Yankı'yı bir casusluk aracına dönüştürebilir.

Saldırı nasıl çalıştı?

Testlerinde Checkmarx araştırmacıları, sömürüyü gerçekleştirmek için masum bir hesap makinesi Yankı becerisini kodladılar. Genellikle, bir Yankı becerisini kullandığınızda, istek işlendikten sonra uyku moduna geri döner.

Bununla birlikte, test hesap makinesi becerileri ile Yankı aktif kaldı ve kullanıcının ilk matematik sorusu çözüldüğünde bile dinlemeye devam etti.



Alexa’nın bir dizi talebi işleme koymasına olanak tanıyan yeniden oluşturma yeteneğini kullanarak, sessiz bir vokal istemi ekleyerek Alexa'yı dinlemeye devam etmeyi başardılar.

Normalde, çok telli bir beceri bir ilk istek gerçekleştirdiğinde, Alexa size bir oturumun hala etkin olduğunu bildirmek için sesli komutlar gönderir ve diğer komutları bekler.



Ancak araştırmacılar, Alexa'nın boş bir reprompt dizesini kabul edebileceğini keşfetti ve bir sonraki komutu beklerken sessiz kalmasını sağladı. Bir kullanıcı becerinin kapandığını düşünebilir, ancak Alexa hala sessizce arka planda kayıt yapıyor.

Sessiz bir istemde, Alexa'nın hala dinlediğinin tek göstergesi Yankı'nın üstündeki aktif mavi ışıktır.



Beceri tarafından yakalanan tüm sesler daha sonra araştırmacılara kelime-kelime transkripti olarak gönderildi. Görünen o ki, sadece Amazon gerçek Echo ses kayıtlarına erişebilse de, geliştiriciler yetenekleri tarafından oluşturulan transkriptleri alabilirler.

Kendinizi korumak için ne yapabilirsiniz?

İşte iyi haber: Checkmarx, Amazon'u bu kusur hakkında bilgilendirdiklerini ve şükürler olsun ki, sorun 10 Nisan'da düzeltildi.



Amazon Echo gadget'ları internete bağlandıklarında kendilerini otomatik olarak günceller, böylece Echo'nuzun şimdiye kadar düzeltmeleri olması gerekir.

Amazon’un düzeltmeleri, bir becerinin sessiz repromplar yayınlama yeteneğini kaldırdı ve ayrıca Alexa'nın komutları dinleyebileceği süreyi kısıtladı. Bu, gelecekte benzer taktiklerin kullanılmasını önlemelidir.

Resmi bir açıklamada, “Müşteri güveni bizim için önemlidir ve güvenliği ve gizliliği ciddiye alıyoruz,” dedi. “Bu tür beceri davranışlarını saptamak için azaltıcı önlemler aldık ve bu becerileri reddettiğimizde ya da bastırdık.”

Ekstra gizlilik için Yankı mikrofonlarını sessize almanın bir yolu da vardır. Yankı mikrofonunu kapatmak için cihazın üst tarafındaki mikrofon kapatma / açma düğmesine basın. Bu düğme kırmızı olduğunda mikrofon kapalıdır. Yeniden etkinleştirmek için düğmeye tekrar basmanız yeterlidir.

Ek olarak, Checkmarx’ın testlerinde de gösterildiği gibi, Yankınızın mavi ışığı açık olduğu sürece aktif olarak dinliyor. Bu mavi ışığın uzun bir süre açık olduğunu fark ederseniz, kesinlikle bir şeyler devam ediyor ve kurulu tüm becerilerinizi gözden geçirmek iyi bir fikir.

Echo’nuzun becerilerini inceleyin ve devre dışı bırakın

Yüklü Yankı becerilerinizin tümünü görmek ve ihtiyaç duymadığınız veya tanımadığınız becerileri devre dışı bırakmak için yapmanız gerekenler.

  1. Alexa uygulamanızı akıllı telefonunuzda veya tabletinizde açın, menü simgesine (sol üst köşedeki üç yatay çizgi) ve ardından Becerilere dokunun.
  2. Sağ üst köşedeki 'Becerileriniz' e hafifçe vurun.
  3. Bu, size Yankı’nın etkinleştirilmiş tüm becerilerinin, sadece güncellenmiş becerilerinizin ve dikkatinizi gerektiren becerilerin bir listesini verecektir (genellikle hesap bağlantısı için).
  4. Bir beceriyi devre dışı bırakmak için, üzerine dokunun ve ardından “BECERİ DEVRE DIŞI BIRAK” düğmesine dokunun.

Amazon Echo'nun duyduğu her şeyi nasıl dinleyebilirim?

Alexa'nın sizin hakkınızda kaydettiği kaygılar mı var? Amazon Yankınıza daha önce verdiğiniz her sesli komutu nasıl dinleyeceğiniz ve silebileceğinizle ilgili bazı ek ipuçları.