Google Home, Amazon Echo, HomePod … medan anslutna högtalare hittar sig in i våra hem ställs alltmer frågan om piratkopiering. Så ofarligt som de kan verka kan anslutna högtalare verkligen styra anslutna objekt, starta applikationer eller till och med göra inköp. Förutom säkerhetsproblem i mjukvaran är de också sårbara för flera typer av attacker med röstkommandon.
När vi tänker på Google Home, Amazon Echo eller HomePod tenderar vi att bagatellisera säkerhetsfrågan. Men dessa högtalare anslutna till Google Assistant, Amazon Alexa eller Siri, kraftfulla personliga assistenter, öppnar nya horisonter för hackare som kan utföra nya typer av attacker som inte direkt innebär att ett program öppnas av offret eller besöker ett kapat nät. sida, bland andra exempel. Genom att förlita sig på hur dessa assistenter fungerar är det möjligt att starta program på distans, öppna webbsidor, göra inköp, kontrollera anslutna objekt och till och med ta kontroll över mikrofonen för att spionera på konversationer.
Google Home, Amazon Echo, HomePod: hur hackare kan hacka smarta högtalare
Google Home, Amazon Echo och HomePod är sårbara för programvaruattacker: i princip är dessa högtalare datorer som är permanent anslutna till internet. År 2017 visade säkerhetsforskaren Mark Barnes (MWR Info Security) hur man utnyttjar säkerhetsproblem i Linux-varianten installerad på Amazon Echo för att öppna en kommandotolk med fjärradministratörsbehörighet. Tillåter att säga något till talaren. Men också till exempel att spionera på alla konversationer som hålls runt Amazon Echo genom att lyssna på mikrofonen.
Naturligtvis kan programvarudelen lappas och med regelbundna uppdateringar kan säkerhet garanteras ganska bra. Men det finns andra typer av attacker som är mer slöa och svåra att undvika. Den första handlar helt enkelt om att försöka prata med talaren för att få dem att agera. Till exempel kan en hacker placera orden “Ok Google”, “Hej Siri” eller “Alexa” i en video följt av en åtgärd att utföra. Detta kan till exempel starta på en högtalare som Amazon Alexa, Kompetens inofficiell. För att göra saken mindre detekterbar kan hackare dölja sina kommandon i homofona meningar, det vill säga som låter samma som ett kommando (och kommer att förstås som sådana).
Ge diskreta eller till och med ohörbara beställningar: det är möjligt!
En mer sofistikerad variant är att kombinera sådana typer av attacker med en smygande skadlig applikation. Till exempel ett populärt program som fungerar normalt, men som kan känna igen ett röstkommando och beordra röstassistenten att svara på ett visst sätt, samtidigt som den utlöser skadlig kod eller öppnar en webbsida. Således kan ett diskret kommando som sänds i en YouTube-video utlösa uppvaknande av en skadlig applikation, eller lanseringen av en annan applikation, som sedan får assistenten att svara med något som antyder att applikationen till exempel har stängts medan den fortfarande är kör i bakgrunden.
Dessa två tekniker var också föremål för en publikation av Chinese Academy of Sciences. Slutligen, och utan tvekan mer oroande, är det möjligt att helt täcka över hackningsförsöket genom att utfärda kommandon som inte hörs för människans öra. I en artikel i maj 2018 rapporterade The New York Times att Siri, Alexa och Google Assistant alla reagerar på röstkommandon i ultraljudsbandet – en attack som kallas DolphinAttack. I följande video visar forskare från Zhejiang University attacken mot en iPhone. Emellertid kräver denna typ av styrning en relativ närhet av målet till anordningen som diffunderar ultraljudet.
Den senare passerar inte heller genom väggarna. Men klara ett öppet fönster – forskare vid University of Illinois har visat att attacken kan genomföras på drygt 7 meters avstånd. För sin del ser högtalartillverkarna alla till att de vidtar åtgärder för att säkerställa att deras högtalare är säkra. Apple försäkrar att HomePod inte kan utföra vissa känsliga åtgärder, inklusive att låsa upp dörrarna, och kräver att du låser upp iPhone och iPad innan du utför vissa åtgärder.
Google försäkrar att dess assistent har säkerhetsenheter mot ohörbara kommandon. Slutligen nöjer sig Amazon med att säga att de har vidtagit åtgärder för att säkra sin Echo-högtalare. Fortfarande är denna typ av attack fortfarande möjlig på dessa högtalare. Och det finns få sätt att verkligen skydda dig själv, på användarsidan, förutom att göra regelbundna uppdateringar och vara noga med de appar som är installerade på alla enheter. Från och med januari 2018 hade Google Home sålt 10 miljoner enheter över hela världen. Med rimliga priser och en aggressiv försäljningspolicy (Google Home Mini erbjuds ibland med andra inköp) kommer dessa högtalare i allt högre grad att hitta sin plats i hem.
För att inte tala om den kommande ankomsten av Amazon Echo, HomePod och Djingo, den anslutna högtalaren från Orange. Säkerheten för smarta högtalare kan då bli en stor fråga. Vad tycker du om intrånget av dessa nya enheter i våra hem och risken de innebär när det gäller säkerhet? Dela din åsikt i kommentarerna!
