Amazon Echo puede ser hackeado para actuar como un dispositivo de vigilancia


Asumir un dispositivo IoT (Internet de Cosas) no es nada nuevo para los hackers, pero como los usuarios se han vuelto cada vez más dependientes de dispositivos inteligentes, las vulnerabilidades también han aumentado. Recientemente, un investigador de seguridad ha descubierto que Amazon Echo, un altavoz inteligente desarrollado por Amazon es vulnerable a ataques físicos.

En este ataque, un atacante con acceso físico a modelos Amazon Echo 2015 o 2016 y con conocimientos profesionales de Linux OS puede instalar malware en el dispositivo convirtiéndolo en una herramienta de vigilancia perfecta – Todo eso sin dejar huella o pista para su propietario.

La severidad con la que el dispositivo puede estar compuesto depende de los atacantes y para qué propósito quieren explotarlo. Sin embargo, un investigador de seguridad británico Mark Barnes de MwrLabs dice que la infección de malware puede permitir a los atacantes obtener acceso remoto completo a un dispositivo de destino, robar tokens de autenticación del cliente y el audio del micrófono en directo. Esto significa que los extraños pueden escuchar conversaciones internas que creían privadas o secretas.

Esto hace Amazon Echo un dispositivo perfecto para los hackers, la policía y las agencias de inteligencia si lo eligen como su objetivo o sospechar de un crimen. Un atacante, en este caso, puede ser cualquier persona incluyendo a un miembro de la familia, un amigo o cualquier otra persona digno de confianza con el acceso físico a su casa.

Esto es como lo que WikiLeaks publicó en sus  documentos de la serie Vault 7  , alegando que la  CIA puede espiar a los usuarios a través de su televisión inteligente Samsung  sin el conocimiento de los usuarios.

Para llevar a cabo el hack, Barnes quitó la base de goma del Echo que le permitió acceder a 18 almohadillas metálicas, cuyo propósito es encontrar bugs y realizar pruebas en el dispositivo antes de enviarlo al mercado para la venta. Usando estos cojines, uno puede también leer datos en la tarjeta del SD. Barnes utilizó luego una de las almohadillas de metal para conectar su computadora portátil para arrancar el dispositivo que se ejecutó con éxito ya que no había autenticación necesaria.

Además, Barnes utilizó un documento de investigación publicado por los investigadores de The Citadel, que destacó cómo los investigadores fueron capaces de arrancar en un entorno genérico de Linux desde una tarjeta externa SD adjunta a depurar almohadillas disponibles en la base del dispositivo Amazon Echo. Esto le permitió a Barnes instalar “un implante persistente, para obtener acceso remoto a la shell de raíz y, por último, analizar remotamente los micrófonos” siempre escuchando “.

“Una vez que tuvimos acceso root examinamos los procesos que se ejecutan en el dispositivo y los scripts que generan estos procesos. Hemos sido capaces de entender cómo los medios de audio se está pasando y buffered entre los procesos y las herramientas que se utilizan para crear e interactuar con estos buffers de audio. Usando la aplicación ‘shmbuf_tool’ proporcionada y desarrollada por Amazon, creamos un script que escribiría continuamente los datos de micrófono sin procesar en un canal fifo con nombre, que luego se transmite a través de TCP/IP a un servicio remoto. En el dispositivo remoto, recibimos el audio del micrófono sin procesar, muestreamos los datos y lo guardamos como un archivo .wav o lo reproducimos desde los altavoces del dispositivo remoto “.

Para aquellos que buscan arreglar el problema son aconsejados por Barnes para silenciar su dispositivo mediante el botón físico y comprobar el paquete original de un derecho de autor 2017 y el número de modelo de dispositivo que termina 02. También, mantener un ojo en quién tiene acceso físico a su Dispositivo Echo y en el caso de cualquier sospecha informar a Amazon.

Vía |hackread

log in

reset password

Back to
log in