Des chercheurs universitaires ont mis au point un nouveau hack fonctionnel qui réquisitionne les haut-parleurs connectés Amazon Echo et les oblige à déverrouiller les portes, à passer des appels téléphoniques et des achats non autorisés, et à contrôler les fours, les fours à micro-ondes et d'autres appareils connectés.Le hack fonctionne en utilisant le haut-parleur de l'appareil pour émettre des commandes vocales. Tant que le discours contient le mot de réveil de l'appareil (généralement "Alexa" ou "Echo") suivi d'une commande autorisée, l'Echo l'exécutera, ont découvert des chercheurs de l'Université Royal Holloway de Londres et de l'Université italienne de Catane. Même lorsque les appareils nécessitent une confirmation verbale avant d'exécuter des commandes sensibles, il est trivial de contourner la mesure en ajoutant le mot "oui" environ six secondes après l'émission de la commande. Les attaquants peuvent également exploiter ce que les chercheurs appellent le "FVV" pour full voice vulnerability ou vulnérabilité vocale complète, qui permet aux Echo d'effectuer des commandes autoémises sans réduire temporairement le volume de l'appareil.
Parce que le hack utilise la fonctionnalité Alexa pour forcer les appareils à effectuer des commandes autoémises, les chercheurs l'ont surnommé "AvA", abréviation d'Alexa contre Alexa. Il ne nécessite que quelques secondes de proximité avec un appareil vulnérable lorsqu'il est allumé afin qu'un attaquant puisse prononcer une commande vocale lui demandant de se coupler avec l'appareil compatible Bluetooth d'un attaquant. Tant que l'appareil reste à portée radio de l'Echo, l'attaquant pourra émettre des commandes.
L'attaque « est la première à exploiter la vulnérabilité des commandes arbitraires autoémises sur les appareils Echo, permettant à un attaquant de les contrôler pendant une période prolongée », ont écrit les chercheurs dans un article. « Avec ce travail, nous supprimons la nécessité d'avoir un haut-parleur externe près de l'appareil cible, augmentant ainsi la probabilité globale de l'attaque ».
Une variante de l'attaque utilise une station de radio malveillante pour générer les commandes autoémises. Cette attaque n'est plus possible de la manière indiquée dans l'article suite aux correctifs de sécurité publiés par Amazon, le constructeur d'Echo, en réponse à la recherche. Les chercheurs ont confirmé que les attaques fonctionnent contre les appareils Echo Dot de 3e et 4e génération.
AvA commence lorsqu'un appareil Echo vulnérable se connecte par Bluetooth à l'appareil de l'attaquant (et pour les Echos non patchés, lorsqu'ils diffusent la station de radio malveillante). À partir de là, l'attaquant peut utiliser une application de synthèse vocale ou d'autres moyens pour diffuser des commandes vocales. Voici une vidéo d'AvA en action. Toutes les variantes de l'attaque restent viables, à l'exception de ce qui est affiché entre 1:40 et 2:14 :
Les chercheurs ont découvert qu'ils pouvaient utiliser AvA pour forcer les appareils à exécuter une multitude de commandes, dont beaucoup avaient de graves conséquences sur la confidentialité ou la sécurité. Les actions malveillantes possibles incluent :
[LIST][*]contrôler d'autres appareils connectés par exemple pour éteindre les lumières, allumer un four à micro-ondes connecté, régler le chauffage à une température dangereuse ou déverrouiller les serrures de porte connectée. Comme indiqué précédemment, lorsque les échos nécessitent une confirmation, l'adversaire n'a qu'à ajouter un "oui" à la commande environ six secondes après la demande ;[*]appeler n'importe quel numéro de téléphone, y compris celui contrôlé par l'attaquant, afin qu'il soit possible d'écouter les sons à proximité. Alors que les Echo utilisent une lumière pour indiquer qu'ils passent un appel, les appareils ne sont pas toujours visibles pour les utilisateurs, et les utilisateurs moins expérimentés peuvent ne pas savoir ce que signifie la lumière ;[*]faire des achats non autorisés en utilisant le compte Amazon de la victime. Bien qu'Amazon enverra un e-mail informant la victime de l'achat, l'e-mail peut être manqué ou l'utilisateur peut perdre confiance en Amazon. Alternativement, les attaquants peuvent également supprimer des éléments déjà présents dans le panier du compte ;[*]altérer le calendrier précédemment lié d...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.