On olemassa pari tapaa ajatella turvallisuutta yhdistetyissä laitteissamme. Yksi on binaarinen. Joko ne ovat turvassa, eikä niitä hyödynnetä aktiivisesti, tai sitten eivät ole.
Otan toisenlaisen otteen. Katson yhdistettyjä laitteitani ja olettaa joku voi nähdä tai kuulla minut niiden kautta ja työskennellä taaksepäin, kun on kyse julkisesti ilmoitettuista hyväksikäytöistä ja hakkeroista. Miten hakkerointi saavutetaan? Edellyttääkö se fyysistä pääsyä laitteeseen? Tehdä minä täytyykö sille ensin tehdä jotain, kuten asentaa sovellus vääristä lähteistä? Onko se jotain hieman pelottavampaa, kuten äskettäinen Broadcomin haavoittuvuus? Ja mikä on laitteistovalmistajan historia päivitysten suhteen?
Tärkeitä asioita, kaikki. Ja yksi asia, joka on pidettävä mielessä, kun katsomme äskettäin paljastettua Amazon Echon "hakkerointia", kuten Wiredissä on kuvattu. Tarkemmin sanottuna puhumme vuosien 2015 ja 2016 malleista. Joten jos olet ostanut sellaisen tänä vuonna, sinun pitäisi olla kunnossa.
Jos et ole hakkerin aktiivinen kohde, laitteen fyysisen pääsyn vaatiminen tarkoittaa yleensä, että olet kunnossa.
Lyhyt versio on tämä: Nuo aikaisemmat Echo-mallit valmistettiin tavalla, jolla joku pystyi fyysisesti kiinnitä vähän ylimääräistä laitteistoa Echoon (itse asiassa käynnistettävä SD-kortti), piilotettuna näkyvistä kumin alle jalansijalle. Tämä antaisi heille mahdollisuuden kuunnella, mitä sanottiin, äänittää sen ja ampua sen missä tahansa hakkeri mielissään. (Se on muun ilkeyden lisäksi.)
Tässä on muutama asia, joka on pidettävä mielessä, ja se on jotain hyväksikäytön kirjoittaminen harkitsee oikein.
Ensinnäkin hakkeri tarvitsee fyysisen pääsyn kaikuun. Ja jos olet jo aktiivinen kohde ja joku pääsee kotiisi, sinulla on paljon suurempia ongelmia kuin Alexan kuunteleminen. (Kuten esimerkiksi oikean bugin istuttaminen jonnekin muualle. Tai useita muualla.)
Toiseksi: Hakkeri tarvitsee fyysisen pääsyn kaikuusi. Tämä ei ole vain ohjelmistoasia. Se kannattaa mainita kahdesti.
Se ei kuitenkaan tarkoita, etteikö olisi skenaarioita, joissa voisin olla huolissani hieman enemmän. Alkuperäisessä kirjoituksessa mainitaan myös, että suurempi (mutta silti teoreettinen, koska tämä kaikki on osa proof-of-concept -asiaa) ongelma voisi olla paikoissa, kuten hotelleissa, joihin useammalla ihmisellä on pääsy.
Wynn-hotellit Vegasissa julkistettiin joulukuussa 2016 että heillä olisi Kaiku joka huoneessa. Vaikka en vihaa ajatusta hallita valoja ja ikkunoiden verhoja äänelläni, hotellihuone on juuri sellainen paikka, johon en luottaisi. Mutta toisaalta, minulla ei myöskään ole aavistustakaan, onko kasinohotelli - joka on jo valmiiksi muualla kuin vain mistä tahansa muusta paikasta, jossa voit vierailla ilman turvallisuusselvitystä – ei jo kuuntele kaikkea Tahdon.
Valitse myrkkysi.
Mahdollisesti hakkeroitu Echo hotellihuoneessa? Se on toinen tarina.
Joten kyllä. Tämä on mielenkiintoinen potentiaalin hyödyntäminen. Mutta se vaatii, että minulla on vanhempi Amazon Echo. Kotona voin korjata sen itse. (Ota sellainen, joka sopii ei on mallinumero 23-002518-01.) Se edellyttää myös, että hyökkääjällä on fyysinen pääsy Echooni, mikä taas on minulle paljon pahempaa monista muista syistä.
Ja lopuksi (tai pikemminkin ensimmäinen) se edellyttää minun olevan kohde. Tähän ei voi vain törmätä kävellessäsi kadulla tai kirjautuessasi jonkun Wi-Fi-verkkoon.
Toistaiseksi? Olen vain kaveri, jolla on Amazon Echo ja joka nukkuu silti hyvin öisin.