Amazon a corrigé un exploit potentiel découvert par Checkmarx. Les chercheurs de ce dernier ont déclaré qu'Alexa pourrait éventuellement garder un œil sur vous même si vous ignoriez totalement que des étrangers malveillants transformaient votre Echo en un appareil d'écoute. Les détectives du laboratoire ont découvert un moyen de garder l'assistant vocal d'Amazon à l'écoute en permanence.

Alfred Ng dans CNET a déclaré "Amazon a déclaré qu'il avait depuis résolu les problèmes signalés." Par exemple, Ng signalé, Amazon a supprimé la possibilité de faire taire les réinvites, et cela a réduit la durée d'écoute d'Alexa.

Checkmarx a décrit ce qui se passait. "Pour l'Echo, similaire au Google Home avec assistant vocal, l'écoute est la clé. L'appareil vous écoute en permanence pour vous surprendre à prononcer son mot de réveil (par exemple, « Alexa »), afin qu'il puisse vous donner ce dont vous avez besoin instantanément, " a déclaré Checkmarx.

Mais les chercheurs sont devenus curieux. Echo peut-il enregistrer un utilisateur sans que l'utilisateur sache qu'il est enregistré ? Serait-ce un espion silencieux, servant d'appareil à tarauder ?

"Amazon Echo (avec son assistant virtuel connu sous le nom d'Alexa) est l'assistant personnel intelligent (IPA) le plus vendu de tous les temps, avec plus de 31 millions d'appareils vendus à ce jour, " dit Checkmarx. " Cependant, avec sa montée en popularité, l'une des principales préoccupations des API est la confidentialité, " et ils ont noté que les préoccupations comprenaient la peur d'être enregistré sans le savoir.

Maty Siman et Shimi Eshkenazi ont travaillé dans le laboratoire Checkmarx pour voir ce qui pourrait arriver s'ils tentaient de transformer leur Amazon Echo en un appareil d'écoute.

Filaire reflété comment ils n'avaient même pas à s'impliquer dans le piratage de l'assistant vocal pour le transformer en espion; les écoutes sont venues d'un simple codage intelligent.

Lily Hay Newman a écrit sur la façon dont ils ont travaillé. Elle a déclaré que les chercheurs avaient créé "une applet Alexa malveillante, connue sous le nom de" compétence ", qui pourrait être téléchargée sur le Skill Store d'Amazon".

(Mais qu'est-ce que Skill ? Ng a expliqué qu'Alexa utilise Skills pour exécuter des commandes. "Vous demandez si la pluie arrive, par exemple, et Alexa utilise la compétence 'Météo' pour répondre.")

Newman a écrit, "Pour utiliser une compétence, vous devez dire le mot de réveil de votre appareil pour que le micro commence à transférer l'audio sur Internet pour le traitement. Dans l'exemple de Checkmarx, lorsque l'utilisateur demande ensuite à sa calculatrice activée de faire des calculs simples, cette demande est acheminée vers la compétence, qui renvoie la réponse."

C'est là que les choses sont devenues intéressantes. Même si l'interaction s'arrêterait là, et le micro cesserait de transmettre, l'équipe a programmé la compétence de sorte qu'« une fonctionnalité de développement appelée 'shouldEndSession' garde automatiquement l'écho à l'écoute pendant un autre cycle. Et, avec d'autres mouvements de la part des chercheurs, ils ont découvert que l'Echo resterait silencieux et ne laisserait pas un utilisateur savoir que la session se poursuivait.

Checkmarx a parlé à Amazon de son scénario d'attaque et Amazon a écouté (aucun sarcasme intentionnel).

Checkmarx a énuméré certaines des mesures qui ont été mises en place :Définir des critères spécifiques pour identifier (et rejeter si nécessaire) les compétences d'écoute lors de la certification; détecter les invites vides et prendre les mesures appropriées ; détecter les sessions plus longues que d'habitude et prendre les mesures appropriées.

Ng dans CNET :Checkmarx a déclaré que les correctifs d'Amazon rendaient impossible la répétition de la même tactique d'écoute. Quant à la réaction d'Amazon, porté dans Filaire :Un porte-parole de l'entreprise a déclaré dans un communiqué que, "Nous avons mis en place des mesures d'atténuation pour détecter ce type de comportement de compétence et rejeter ou supprimer ces compétences lorsque nous le faisons."

© 2018 Tech Xplore