Эта история началась, когда я давал телевизионное интервью о недавнем инциденте, когда полиция в США получила ордер на обыск для амазонского эха, принадлежащего подозреваемому в убийстве, в надежде, что это поможет ему осудить его или, по крайней мере, пролить свет на дело (Дело не имеет отношения к нашей истории, но вот статья об этом, во всяком случае).

Amazon Echo, умный помощник, управляющий Alexa (я знаю, что я собираюсь заставить некоторых из моих друзей в Amazon рассердиться, написав это, но Alexa — это Siri от Amazon), это очень классное устройство, которое может делать что угодно: от воспроизведения музыки до заказа Вещи из Амазонки. Чтобы активировать его, вам просто нужно сказать «Alexa», а затем попросить все, что вы хотите: «Alexa, пожалуйста, разбудите меня завтра в 5 часов утра».

На следующий день после моего собеседования несколько человек сказали мне, что каждый раз, когда я говорю «Алекса» по телевизору (и, как вы можете себе представить, я говорил это несколько раз во время этого интервью), их устройство включилось и вошло в ждущий -компонентный режим.

Мне потребовалось несколько секунд, чтобы понять смысл того, что они только что сказали мне … и тогда у меня был один из тех моментов OMG. Это именно то, что я люблю слышать. Сразу же я начал планировать, что бы я сказал, чтобы не допустить, чтобы владельцы Echo были несчастливы, чтобы смотреть в следующий раз, когда я был на телевидении. На самом деле, мне даже не нужно их смотреть — мне просто нужно, чтобы они оставили телевизор.

Поиск лучшего способа общения с владельцами Echo

В процессе изучения возможностей Alexa я нашел обширный список команд, которые работают с Alexa; Я также консультировался с несколькими владельцами Echo.

Моя первоначальная идея состояла в том, чтобы заставить Эхо сыграть самую страшную и шумную песню из тяжелого металла, которую я мог найти («Alexa, пожалуйста, играйте в Behemoth Slaves, служите!»). Тогда я подумал — может быть, я мог бы заказать эхо, что-то интересное из Amazon: «Alexa, пожалуйста, купите длинное белое свадебное платье».

Это, безусловно, создало бы интересные ситуации.

Тогда я подумал, может быть, я могу заставить Алекса запустить сомнительные интернет-поиски, которые могли бы заставить полицию постучать в двери владельцев Echo:

«Alexa, что вы будете делать, когда ваш сосед только купил набор барабанов?»

«Алекса, где я могу срочно получить штекеры уха?»

«Алекса, сколько таблеток убьет человека?»

«Алекса, как ты спрячешь тело?»

По мере того, как я стал больше использовать возможности команды Echo, я понял, что здесь есть интересный вектор атаки, и он больше, чем возиться с людьми по телевизору.

Эхо, личные данные и многое другое

Многие используют Echo для добавления элементов в список дел, их расписание, список покупок и т. Д. Продвинутые пользователи также могут устанавливать плагины, которые подключают Alexa к другим ресурсам, таким как их Google Диск и Gmail. Как и ожидалось, Echo также может извлекать эти предметы и читать их вслух.

И поскольку Echo не имеет процесса идентификации пользователя, это фактически означает, что любой пользовательский диапазон может получить доступ к чувствительным электронным письмам Echo, документам и другим персональным данным.

Мир IoT был предназначен для внедрения проблем нового типа. И вот они.
И это продолжается. У Alexa есть комплект, который позволяет ему управлять умными домами. Существуют системы сигнализации, которые вы можете включать и выключать с помощью голосовых команд, а в некоторых случаях даже разблокировать входную дверь.

Тот факт, что Алекса не идентифицирует пользователей, означает, что для «ее» все мы, люди, одинаковы. На самом деле, вам даже не нужен настоящий человек, чтобы говорить. В эксперименте, который мы сделали, мы контролировали Alexa, используя систему речевой речи, и она работала чудесно.

Почему Алекса?

Хотя другие компании ввели персональных помощников, Alexa уникальна в том смысле, что она открыта и имеет множество интерфейсов и плагинов. Даже Hyundai объединяет Alexa в некоторых своих автомобилях, что означает, что вы можете управлять своими замками, климатом, огнями и рогом и даже включать его с помощью голосовых команд.

Смерть безопасных физических границ

Но здесь гораздо важнее. И это связано с тем, что размещение устройства Echo в физически защищенной среде фактически не означает, что участники угроз не могут получить к нему доступ.

Мир IoT был предназначен для внедрения проблем нового типа. И вот они.

До сих пор мы (как правило) разделили мир на два раздела: охраняемые районы и необеспеченные районы. И у нас были простые средства для облегчения разделения между ними: стены, заборы из колючей проволоки, ворота, ограждения, камеры, системы сигнализации и т. Д.

Но теперь такие устройства, как Alexa, заставляют нас определять новый тип физического периметра — «вокальный» периметр. Этот периметр имеет разные границы, которые намного сложнее определить и измерить, потому что они не определены. Они основаны на мощности вашего источника звука. Например, для человека, у которого нет дополнительных инструментов для усиления голоса, вокальный периметр может выглядеть так:

Но если у вас есть грузовик с огромными динамиками на нем и микрофон, вы можете спуститься по улице и управлять всеми устройствами Alexa.