Istnieje kilka sposobów myślenia o bezpieczeństwie naszych podłączonych urządzeń. Jeden jest binarny. Albo są bezpieczne i nie są aktywnie wykorzystywane, albo nie.
Przyjmuję inną taktykę. Patrzę na podłączone urządzenia i przypuszczać ktoś może mnie zobaczyć lub usłyszeć przez nie i stamtąd wstecz, jeśli chodzi o publicznie ogłoszone exploity i hacki. W jaki sposób uzyskuje się hack? Czy wymaga fizycznego dostępu do urządzenia? Do I musisz najpierw coś z tym zrobić, na przykład zainstalować aplikację z podejrzanego źródła? Czy jest to coś bardziej przerażającego, jak ostatnia luka w zabezpieczeniach Broadcom? A jaka jest historia producenta sprzętu, jeśli chodzi o aktualizacje?
Ważne rzeczy, wszystko. I coś, o czym należy pamiętać, gdy spojrzymy na niedawne ujawnienie „hakowania” Amazon Echo, jak opisano w Wired. W szczególności mówimy o modelach z 2015 i 2016 roku. Więc jeśli kupiłeś jeden w tym roku, powinieneś być w porządku.
O ile nie jesteś aktywnym celem hakera, fizyczny dostęp do urządzenia zazwyczaj oznacza, że wszystko będzie w porządku.
Krótka wersja jest taka: te wcześniejsze modele Echo zostały wyprodukowane w sposób, w jaki ktoś mógł fizycznie dołącz trochę dodatkowego sprzętu do Echo (właściwie bootowalnej karty SD), ukrytej poza zasięgiem wzroku pod gumą stopa. To pozwoliłoby im podsłuchać, co zostało powiedziane, nagrać to i wystrzelić w dowolne miejsce hakera. (To oprócz innych złośliwości.)
Jest tutaj kilka rzeczy, o których należy pamiętać, i to jest coś opis exploita słusznie uważa.
Po pierwsze, haker potrzebowałby fizycznego dostępu do twojego Echa. A jeśli jesteś już aktywnym celem i ktoś może dostać się do twojego domu, masz znacznie większe problemy niż podsłuchiwanie Alexy. (Jak, powiedzmy, zasadzenie prawdziwego robaka gdzie indziej. Lub wiele innych miejsc).
Po drugie: haker potrzebowałby fizycznego dostępu do twojego echa. To nie jest tylko kwestia oprogramowania. Warto wspomnieć dwa razy.
Nie oznacza to jednak, że nie ma scenariuszy, w których mógłbym się trochę bardziej martwić. W oryginalnym artykule wspomniano również, że większy (ale wciąż teoretyczny, ponieważ wszystko to jest częścią weryfikacji koncepcji) problem może dotyczyć miejsc takich jak hotele, do których dostęp ma więcej osób.
Hotele Wynn w Vegas ogłoszony w grudniu 2016 r że będą mieli Echo w każdym pokoju. Chociaż nie podoba mi się pomysł kontrolowania światła i żaluzji za pomocą głosu, pokój hotelowy jest dokładnie takim miejscem, któremu nie ufałbym takim rzeczom. Ale z drugiej strony nie mam też pojęcia, czy hotel z kasynem — który już jest okablowany nie tylko o każdym innym miejscu, które możesz odwiedzić bez poświadczenia bezpieczeństwa — nie podsłuchuje już wszystkiego Ja robię.
Wybierz swoją truciznę, naprawdę.
Potencjalnie zhakowane Echo w pokoju hotelowym? To inna historia.
Więc tak. Jest to interesujący potencjalny exploit. Ale to wymaga ode mnie starszego Amazon Echo. W domu to coś, co mogę sam naprawić. (Zdobądź taki, który to robi nie mają numer modelu 23-002518-01.) Wymaga to również od atakującego fizycznego dostępu do mojego Echo, co znowu jest dla mnie znacznie gorsze z wielu innych powodów.
I wreszcie (a raczej Pierwszy) wymaga ode mnie bycia celem. To nie jest coś, na co można się natknąć idąc ulicą lub logując się do czyjejś sieci Wi-Fi.
Na razie? Jestem tylko facetem z Amazon Echo, który wciąż dobrze śpi w nocy.