Amazon Alexa a quelques compétences sérieuses espionnage sur les utilisateurs !

Les chercheurs en sécurité ont développé une nouvelle « compétence » malveillante pour l’assistant vocal populaire d’Amazon, Alexa, qui peut transformer votre Amazon Echo en un dispositif d’espionnage à part entière.

"Alexa, est-ce que tu m’espionnes ?" - aaaa ..... mmmm ..... hmmm ..... peut-être !!!

Amazon Echo est un haut-parleur intelligent à commande vocale à écoute vocale qui vous permet de faire des choses en utilisant votre voix, comme jouer de la musique, régler des alarmes et répondre à des questions.
Cependant, l’appareil ne reste pas activé tout le temps ; au lieu de cela, il dort jusqu’à ce que l’utilisateur dise "Alexa", et par défaut, il met fin à une session après une certaine durée.
Amazon permet également aux développeurs de créer des « compétences », des applications pour Alexa, qui est le cerveau derrière des millions de dispositifs intelligents à commande vocale, y compris Amazon Echo Show, Echo Dot et Amazon Tap.
Cependant, les chercheurs en sécurité de la société de cybersécurité Checkmarx ont créé une « compétence » de preuve de concept pour Alexa qui oblige l’appareil à enregistrer indéfiniment la voix surround pour espionner secrètement les conversations des utilisateurs et envoie ensuite les transcriptions complètes à un tiers. site Internet.

Déguisé en simple calculatrice pour résoudre des problèmes de maths, la compétence malveillante, si elle est installée, est immédiatement activée en arrière-plan après qu’un utilisateur ait dit « Alexa, calculatrice ouverte ».
"La compétence de la calculatrice est initialisée et la fonction API \ Lambda associée à la compétence reçoit une demande de lancement en tant qu’entrée", indiquent les chercheurs dans son rapport .
Dans une démonstration vidéo, les chercheurs montrent que lorsqu’un utilisateur ouvre une session avec l’application calculatrice (en arrière-plan), il crée également une deuxième session sans indiquer verbalement à l’utilisateur que le microphone est toujours actif.

Par conception, Alexa devrait mettre fin à une session ou demander à l’utilisateur une autre commande pour garder la session ouverte. Cependant, le piratage pourrait permettre aux attaquants de garder la deuxième session active pour espionner les utilisateurs tout en terminant le premier lorsque l’interaction de l’utilisateur est terminée.
Heureusement, vous pouvez toujours repérer l’espion en flagrant délit si vous remarquez que la lumière bleue de votre appareil Echo est activée pour une période plus longue, surtout lorsque vous n’êtes pas en train de bavarder avec.
Checkmarx a signalé le problème à Amazon, et la société a déjà résolu le problème en recherchant régulièrement des compétences malveillantes qui « invitent silencieusement ou qui écoutent pour des durées inhabituelles » et les expulsent de leur magasin officiel.
Ce n’est pas le premier hack Alexa démontré par les chercheurs. L’année dernière, un groupe de chercheurs de MWR InfoSecurity a montré comment des pirates informatiques pouvaient transformer certains modèles d’ Amazon Echo en un dispositif d’écoute dissimulé .

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 30 |

Actu en image