Alexa กับ Alexa (AvA) เป็นการโจมตีรูปแบบใหม่ที่ใช้ประโยชน์จากไฟล์เสียงที่มีคำสั่งเสียงและวิธีการเล่นเสียงอย่างไม่เหมาะสมเพื่อเข้าควบคุม Amazon ก้อง อุปกรณ์ในช่วงเวลาที่ไม่แน่นอน ผ่านช่องโหว่นี้ Amazon Alexa อุปกรณ์สามารถเริ่มเล่นเสียงโดยผู้โจมตีจากระยะไกล ดังนั้นความสงสัยว่าพวกเขาสามารถควบคุมลำโพงอัจฉริยะด้วย Alexa ที่รวมเข้าด้วยกันและฟังเรากลายเป็นจริง
ตามที่นักวิจัยด้านความปลอดภัยที่ Royal Holloway, University of London, ช่องโหว่นี้เป็นช่องโหว่ที่ผู้ประสงค์ร้ายสามารถเข้าถึงลำโพงอัจฉริยะและส่งคำสั่งไปยังตัวเองหรือลำโพงที่เปิดใช้งาน Alexa ในบริเวณใกล้เคียง นี้จะช่วยให้มัน แอบฟัง กับผู้ใช้ ทำการซื้อที่ไม่ต้องการ และแม้กระทั่งจัดการปฏิทินที่เชื่อมโยง
นี่คือวิธีที่ Alexa โจมตี Alexa กับ Alexa (AvA)
นักวิจัยของ RHUL Sergio Esposito และ Daniele Sgandurra ร่วมกับ Giampaolo Bella จากมหาวิทยาลัย Catania ในอิตาลีเป็นผู้ค้นพบช่องโหว่นี้ที่พวกเขาอธิบายว่าเป็น "ช่องโหว่ของปัญหาคำสั่ง"
“การเปิดใช้งานอุปกรณ์ Echo ด้วยตนเองเกิดขึ้นเมื่อไฟล์เสียงที่เล่นโดยอุปกรณ์นั้นมีคำสั่งเสียง ” นักวิจัยกล่าวว่า ในบทความนี้ . พวกเขาอ้างว่าเอวาได้รับผลกระทบ Echo Dot รุ่นที่สามและสี่ ลำโพงอัจฉริยะ
การกระตุ้นการโจมตีนั้นง่ายพอๆ กับการใช้อุปกรณ์ที่เปิดใช้งาน Alexa เพื่อเริ่มเล่นไฟล์เสียงที่สร้างขึ้นเอง นักวิจัยแนะนำว่าพวกเขาสามารถโฮสต์โดยสถานีวิทยุอินเทอร์เน็ตที่สามารถซิงค์กับ Amazon Echo “ด้วย AvaA ผู้โจมตีสามารถออกคำสั่งใดๆ ที่ได้รับอนุญาตให้กับ Echo ได้ด้วยตนเอง โดยควบคุมในนามของผู้ใช้ที่ถูกกฎหมาย”
มันทำได้ผ่าน Alexa Skills
Alexa Skills เพิ่มฟังก์ชันพิเศษให้กับลำโพงอัจฉริยะของ Amazon ลำโพง Echo มีชุดทักษะที่ติดตั้งไว้ล่วงหน้าแล้ว แต่เราสามารถติดตั้งเพิ่มเติมจากร้านค้าและสร้างทักษะของเราเองด้วย Alexa ด้วยพิมพ์เขียว คุณสามารถฟังเพลง เล่น สั่งอาหารที่บ้าน ฯลฯ เพื่อโจมตีต้องใช้ทักษะเหล่านี้ ต่อไป คุณสามารถดูสิ่งที่เทคนิค AvaA ประกอบด้วย
นี่เป็นวิธีการใหม่ในการควบคุมผู้พูด Echo ของบุคคล “ผู้โจมตีสามารถใช้ฟังก์ชั่นการฟังนี้เพื่อสร้างสถานการณ์วิศวกรรมสังคมที่ทักษะแกล้งเป็น Alexa และตอบสนองต่อข้อความของผู้ใช้ราวกับว่ามันเป็น Alexa” นักวิจัยด้านช่องโหว่ Sergio Esposito บอกกับ The Register
Amazon ได้แก้ไขช่องโหว่ส่วนใหญ่แล้ว ยกเว้นช่องโหว่ที่อุปกรณ์ที่จับคู่ Bluetooth สามารถเล่นไฟล์เสียงที่สร้างผ่านลำโพง Amazon Echo ที่มีช่องโหว่ได้ Esposito ยืนยัน ช่องโหว่ที่ติดตามเป็น CVE-2022-25809 ซึ่งได้รับมอบหมายให้ ระดับความรุนแรงปานกลาง .
รายการในฐานข้อมูลช่องโหว่แห่งชาติของสหรัฐอเมริกาอธิบายว่าเป็น "การปิดใช้เอาต์พุตเสียงที่ไม่เหมาะสม" และกล่าวว่าส่งผลกระทบต่อ "อุปกรณ์ Amazon Echo Dot รุ่นที่สามและสี่" ทำให้ "ดำเนินการคำสั่งเสียงบนอุปกรณ์เหล่านี้โดยพลการโดยใช้ทักษะที่เป็นอันตราย (ในกรณีของผู้โจมตีจากระยะไกล) หรือโดยการจับคู่อุปกรณ์ Bluetooth ที่เป็นอันตราย (ในกรณีของผู้โจมตีทางกายภาพที่อยู่ใกล้เคียง) หรือที่เรียกว่าการโจมตี “Alexa vs. Alexa (AvA)”