В рамках ежегодного мероприятия DefCon в Лас-Вегасе (США) — крупнейшей в мире конференции для хакеров — эксперты по кибербезопасности представили новый способ взлома «умных» колонок, популярность которых стремительно растет в последние годы.
Фото: Elaine Thompson / AP
В ходе своего выступления специалисты одного из подразделений китайского технологического гиганта Tencent Ву Хуэйю и Цянь Вэнь Сян представили способ, благодаря которому им удалось взломать динамик Amazon Echo. Чтобы осуществить задуманное, им потребовалось разобрать колонку, изъять чип флеш-памяти из материнской платы, перепрошить встроенное программное обеспечение и вставить чип обратно. Таким образом, «модифицированный» динамик стал идеальным устройством для совершения атак на другие колонки Echo через подключение его к той же сети Wi-Fi. Используя уязвимости интерфейса Amazon Alexa (встроенный в колонки голосовой помощник) на сайте Amazon.com, китайские специалисты задействовали перенаправление URL-адресов, межсайтовый скриптинг и понижение уровня веб-шифрования. После получения контроля над другими динамиками удалось прослушать и записать разговоры в комнате, а также дать команду о воспроизведении музыки.
Как отметили представители Tencent, этот способ практически невыполним, так как как минимум необходимы физический доступ к колонке Echo и знания о том, как разобрать устройство.
Согласно исследованию компании Strategy Analytics, во втором квартале 2018 года поставки акустических систем, оснащенных голосовыми помощниками, достигли 11,7 млн устройств, что на 203% больше, чем годом ранее. Крупнейшим поставщиком этого оборудования стала Amazon, которая отгрузила 4,8 млн штук во втором квартале. При этом рыночная доля интернет-гиганта сократилась с 75,8% до 41%.
Спад обусловлен усилением конкуренции, а также появлением новых игроков на рынке «умных» колонок. Так, доля Google увеличилась с 16,1% до 27,6%. Alibaba Tmall Genie, продажи которой начались в прошлом году, во втором квартале поставила уже около 800 тыс. «умных» колонок, что позволило китайскому интернет-гиганту завладеть семипроцентной долей на рынке. Не осталась в стороне и Apple, представившая устройство HomePod в прошлом году (сейчас доля Apple — 5,9%).
Рост популярности «умных» устройств заставляет злоумышленников находить новые способы атаки на них. Например, в сентябре 2017 года группа китайских исследователей предупредила, что систему голосовых помощников довольно легко взломать и для этого потребуется устройство всего за $3. Для взлома специалисты Чжэцзянского университета использовали смартфон с самодельной приставкой стоимостью $3 — микрофон и усилитель. Преобразовав голосовую команду в ультразвук, они смогли скомандовать другому телефону набрать номер. В мае текущего года студенты Калифорнийского университета Беркли нашли способ активировать Siri Alexa и Google Assistant без ведома владельца, отредактировав музыкальную запись или видео в интернете.
В связи с потенциальным риском взлома специалисты в сфере кибербезопасности призывают производителей повышать защищенность технологий, связанных с интернетом вещей.