Kyberbezpečnostní experti z Tencentu proměnili chytrý reproduktor Echo na odposlouchávací zařízení

Kyberbezpečnostní odborníci z Tencentu na krátkou chvíli proměnili hlasovou asistentku Alexu v digitální špiónku. Na konferenci etických hackerů Def Con prozradili, že se jim před nedávnem podařilo použít modifikovaný reproduktor Echo k hacknutí dalšího Echa běžícího na stejné síti a získat nad ním úplnou kontrolu. Zařízení pak mohlo na dálku tajně nahrávat zvuk a nahraná audio data přes síť posílat třetí straně.

Svá zjištění nedlouho poté poskytli Amazonu a ten v červenci pro reproduktor vydal bezpečnostní updaty. Experti čínského technologického a internetového obra také vysvětlili, že použili podstatně komplikovanější hackovací techniku, než je na dálku prováděný „standardní hack“. Nejprve museli reproduktor zásadně modifikovat, a to tak, že z něj vyndali čip flash paměti, upravili jeho firmware, aby získali přístup k rootu, a poté jej přiletovali zpátky na plošný spoj.

Jakmile umístili takto hacknuté zařízení do sítě, na níž běžel druhý reproduktor, mohli začít používat proprietární komunikační protokoly Amazonu a využitím některých Amazonem neodhalených chyb v rozhraní reproduktoru (přesměrování adres, skriptování napříč weby apod.) nad ním získali úplnou kontrolu. Od této chvíle mohl přehrát jakýkoli zvuk, který chtěli, nebo potají nahrávat veškerý zvuk v místnosti včetně konverzací ve vedlejších místnostech.

Čínští etičtí hackeři nejsou jedinými, kdo se do bezpečnostní platformy Echa naboural. Loni se britskému hackerovi Marku Barnesovi podařilo na reproduktor nainstalovat malware, k čemuž využil kovové kontakty nacházející se pod gumovou základnou zařízení. Bezpečnostní firma Checkmarx letos v dubnu objevila potenciálně nebezpečnou bezpečnostní slabinu, když pomocí malwaru nainstalovaného do zdánlivě neškodné kalkulátorové aplikace hacknula nahrávací funkci Alexy.

Zdroj: digitaltrends.com