Британский специалист по кибербезопасности Марк Барнс разработал способ взлома смарт-динамика Amazon Echo, благодаря которому злоумышленники смогут дистанционно прослушивать все, что происходит в доме владельца этого устройства. Как пишет Wired, взлом работает пока только с устройствами, выпущенными до 2017 года.
Устройство Amazon Echo, поступившее в продажу в 2015 году, требует подключения к интернету и способно управлять другими «умными» устройствами в доме. Активируется смарт-динамик голосовой командой Alexa, после чего он начинает записывать происходящее вокруг и отправлять на сервера Amazon для поиска и обработки более сложных голосовых команд.
Echo умеет транслировать музыку, отвечать на устные поисковые запросы, зачитывать новости, управлять календарем и совершать некоторые покупки в интернете с помощью голосовых команд. По утверждению Amazon, Echo не используется для подслушивания. Однако для спокойствия пользователей устройства оснащены кнопкой принудительного отключения микрофона.
Метод взлома, разработанный Барнсом, позволяет загрузить на устройство Echo модифицированную прошивку, которая может постоянно вести аудиозапись и отправлять данные не только на сервера Amazon, как это и должно быть, но и на любой другой сервер, указанный злоумышленником.
Все устройства Echo, выпущенные до 2017 года, имеют с нижней стороны под резиновой подставкой несколько сервисных контактов, необходимых для ремонта и диагностики смарт-динамика. Барнс создал небольшое устройство, которое можно подключить к этим контактам и записать разблокированный загрузчик.
Такой загрузчик по умолчанию загружает прошивку, расположенную во флеш-памяти Echo, но если в слоте для SD-карт устройства окажется флешка с модифицированной прошивкой, будет загружена и установлена она. После этого SD-карточку можно извлечь, а взломанное устройство Amazon Echo останется таковым на сколь угодно долгий период.
Взломанное устройство Echo ведет запись всего происходящего вокруг него постоянно даже без произнесения пользователем команды активации Alexa. Тем не менее, по словам Барнса, запись на взломанном устройстве не ведется, если нажата кнопка принудительного отключения микрофона.
В середине июля текущего года в США сотрудники полиции задержали человека, угрожавшего своей подруге расправой с применением огнестрельного оружия. Сотрудники правоохранительных органов прибыли на место после того, как на горячую линию 911 позвонил центр управления «умным» домом.
В поселке Тижерас неподалеку от Альбукерке Эдуардо Баррос находился дома со своей подругой и ее дочерью, между взрослыми завязалась ссора, которая дошла до применения физической силы. В какой-то момент мужчина взял в руки огнестрельное оружие и начал угрожать женщине расправой.
Угрожая убийством Баррос спрашивал: «Ты что, позвонила шерифам?» Центр управления «умным домом», анализировавший происходившее вокруг, вероятно, принял этот вопрос за голосовую команду и набрал номер горячей линии 911. Ответивший на звонок оператор услышал угрозы и вызвал полицию.
Василий Сычёв