Les chercheurs ont découvert un moyen de garder constamment à l'écoute l'assistant vocal d'Amazon.
Ian Knighton / Camaraderielimited
Alexa est un bon auditeur – tellement bon, en fait, que les chercheurs ont découvert un moyen de l'enregistrer indéfiniment.
L'assistant vocal intelligent d'Amazon avait une faille de codage qui aurait pu permettre aux développeurs malveillants de transformer l'Echo en dispositif d'écoute.
Alexa, l'assistant vocal utilisé par des millions de gadgets intelligents, y compris la populaire gamme Echo d'Amazon, utilise ce qu'il appelle des compétences pour effectuer des commandes. Vous demandez à un appareil si la pluie arrive, par exemple, et il utilise la compétence "Météo" pour répondre.
Les chercheurs de la société de tests de sécurité Checkmarx ont découvert une faille avec Alexa qui permettait à une compétence de continuer à écouter longtemps après qu'une personne ait activé la tâche, a déclaré Amit Ashbel, directeur du marketing produit chez Checkmarx.
"Autant que nous puissions le dire, il n'y avait pas de limite", a déclaré Ashbel. "Tant que tu ne le dis pas d'arrêter, ce ne sera pas le cas."
Amazon a dit qu'il a depuis corrigé les problèmes signalés. "La confiance des clients est importante pour nous et nous prenons la sécurité et la confidentialité au sérieux", a déclaré la société dans un communiqué. "Nous avons mis en place des mesures d'atténuation pour détecter ce type de comportement de compétence et rejeter ou supprimer ces compétences quand nous le faisons."
Checkmarx dit que le problème a été résolu depuis le 10 avril.
Quelqu'un s'est inquiété que les enceintes intelligentes Echo d'Amazon nous écoutent. Le géant de la vente au détail en ligne a combattu les préoccupations de la vie privée en soulignant que l'assistant vocal n'écoute pas les gens jusqu'à ce que son mot de veille soit activé. Certaines personnes, cependant, ne peuvent pas secouer leur malaise avec la prolifération des appareils intelligents, ce qui explique pourquoi une histoire sur les données Echo étant remis dans un cas de meurtre fascine tant de gens.
Amazon n'a jamais dit combien de temps il continuerait à écouter après la fin d'une commande, ce qui a poussé les chercheurs de Checkmarx à faire leurs tests.
En cours de lecture:
Regarde ça:
Les chercheurs ont trouvé un moyen de transformer un écho en une écoute …
1:19
Comment garder Alexa à l'écoute
Après avoir exécuté la commande, Alexa est censée arrêter d'écouter. Mais les chercheurs de Checkmarx ont développé une compétence qui leur permettait de continuer à écouter indéfiniment en profitant de la fonctionnalité "Reprompt" d'Alexa.
Lorsqu'un Alexa n'entend pas correctement votre commande, il continue à écouter et demande à l'utilisateur de répéter l'ordre. Les chercheurs de Checkmarx ont découvert qu'un développeur pouvait écrire dans le code pour qu'Alexa le fasse, même s'il comprenait parfaitement la commande. De cette façon, il restait à l'écoute.
Ils ont également découvert que les développeurs pouvaient mettre la requête en sourdine – de sorte que vous n'entendiez pas l'Alexa vous demander de vous répéter. Cette combinaison permet à l'Alexa de continuer à écouter sans que l'utilisateur soit au courant, a déclaré Ashbel.
Le seul signe que l'Alexa est toujours à l'écoute est l'anneau bleu autour de l'appareil Echo, qui, selon Ashbel, n'était pas une solution efficace.
"Si je donnais une commande à Alexa, je ne regarderai pas Alexa pour voir ce qui se passe avec l'appareil lui-même", at-il dit.
Il a fait remarquer qu'Amazon permettait à d'autres gadgets d'utiliser Alexa. comme miroirs de salle de bains et toilettes, qui n'ont peut-être pas cet anneau.
Le test de hack
La preuve de concept de Checkmarx utilisait une calculatrice qui fonctionnait comme n'importe quelle calculatrice. Mais après avoir fait un problème de maths, l'Echo Dot continua à écouter pendant plus d'une minute jusqu'à ce que le chercheur dise à Alexa de s'arrêter.
Pendant cette minute, il captura tout l'audio enregistré dans une transcription et l'envoya aux développeurs. une vitrine soigneusement emballée, écrivant mot pour mot ce que le chercheur a dit.
Tandis qu'Amazon seulement obtient des enregistrements vocaux de personnes utilisant Alexa, les développeurs qui créent les compétences peuvent obtenir des parties des transcriptions.
"L'enregistrement vocal ne va pas réellement au pirate, mais la transcription est envoyée au pirate. qui a développé la compétence ", a déclaré Ashbel. "Cela les laisserait vraiment écouter votre conversation."
Checkmarx a dit que les corrections d'Amazon ont rendu impossible la répétition de la même tactique d'écoute. Amazon a supprimé la possibilité de faire taire les réprimandes, et a également raccourci le temps qu'Alexa pouvait écouter, a dit Ashbel.
Amazon a refusé d'expliquer ce que ses correctifs sont, citant ses pratiques de sécurité.
Suivez l'argent: Voici comment l'argent numérique change la façon dont nous économisons, magasinons et travaillons.
'Alexa, sois plus humain': Amazon a fait de son assistant vocal un outil plus intelligent, plus bavard et plus proche de vous.
