Il existe plusieurs façons de penser à la sécurité lorsqu'il s'agit de nos appareils connectés. L'un est binaire. Soit ils sont sûrs et sécurisés et ne sont pas activement exploités, soit ils ne le sont pas.
Je prends une approche différente. Je regarde mes appareils connectés et supposer quelqu'un peut me voir ou m'entendre à travers eux et travailler à partir de là lorsqu'il s'agit d'exploits et de hacks annoncés publiquement. Comment le piratage est-il réalisé? Nécessite-t-il un accès physique à l'appareil? Faire je devez-vous d'abord faire quelque chose, comme installer une application à partir d'une source spécieuse? Est-ce quelque chose d'un peu plus effrayant, comme la récente vulnérabilité de Broadcom? Et quel est l'historique du fabricant de matériel en matière de mises à jour ?
Des choses importantes, tout. Et quelque chose à garder à l'esprit lorsque l'on regarde la récente divulgation d'un "hack" de l'Amazon Echo, comme détaillé dans Wired. Plus précisément, nous parlons des modèles 2015 et 2016. Donc, si vous en avez acheté un cette année, ça devrait aller.
À moins que vous ne soyez une cible active d'un pirate informatique, exiger un accès physique à un appareil signifie généralement que tout ira bien.
La version courte est la suivante: ces modèles Echo antérieurs ont été fabriqués de manière à ce que quelqu'un puisse physiquement attachez un peu de matériel supplémentaire à l'Echo (une carte SD amorçable, en fait), caché hors de vue sous le caoutchouc pied. Cela leur permettrait d'écouter ce qui se disait, de l'enregistrer et de le déclencher partout où le pirate informatique le souhaiterait. (C'est en plus d'autres méchancetés.)
Il y a quelques choses à garder à l'esprit ici, et c'est quelque chose que la rédaction de l'exploit considère à juste titre.
Tout d'abord, le pirate aurait besoin d'un accès physique à votre Echo. Et si vous êtes déjà une cible active et que quelqu'un peut entrer dans votre maison, vous avez des problèmes bien plus importants qu'Alexa qui écoute. (Comme, disons, planter un vrai bug ailleurs. Ou plusieurs ailleurs.)
Deuxièmement: le pirate aurait besoin d'un accès physique à votre Echo. Ce n'est pas qu'une question de logiciel. Cela vaut la peine d'être mentionné deux fois.
Cela ne veut pas dire qu'il n'y a pas de scénarios dans lesquels je pourrais m'inquiéter un peu plus, cependant. La rédaction originale mentionne également que le problème le plus important (mais toujours théorique, car tout cela fait partie d'une chose de preuve de concept) pourrait être dans des endroits comme les hôtels, où plus de gens ont accès.
Les hôtels Wynn à Las Vegas annoncé en décembre 2016 qu'ils auraient un écho dans chaque pièce. Bien que je ne déteste pas l'idée de contrôler les lumières et les stores avec ma voix, une chambre d'hôtel est exactement le genre d'endroit auquel je ne ferais pas confiance. Mais d'un autre côté, je ne sais pas non plus si un hôtel-casino - qui est déjà câblé plus que juste à propos de tout autre endroit que vous pouvez visiter sans autorisation de sécurité - n'écoute pas déjà tout Je fais.
Choisissez votre poison, vraiment.
Un Echo potentiellement piraté dans une chambre d'hôtel? C'est une autre histoire.
Donc voilà. C'est un exploit potentiel intéressant. Mais c'est celui qui m'oblige à avoir un ancien Amazon Echo. À la maison, c'est quelque chose que je peux rectifier moi-même. (Prenez-en un qui fait pas ont le numéro de modèle 23-002518-01.) Cela nécessite également qu'un attaquant ait un accès physique à mon Echo, ce qui est encore bien pire pour moi pour une foule d'autres raisons.
Et enfin (ou plutôt d'abord) il faut que je sois une cible. Ce n'est pas quelque chose que vous pouvez simplement trouver en marchant dans la rue ou en vous connectant au réseau Wifi de quelqu'un.
Pour l'instant? Je suis juste un gars avec un Amazon Echo qui va encore bien dormir la nuit.