Alexa, mă spionezi?

Alexa, mă spionezi?

În luna mai, un dispozitiv Amazon Echo a înregistrat în mod arbitrar conversația privată a unei familii Portland și a trimis-o unei persoane aleatorii din lista lor de contacte, reaprinzând îngrijorările defectele de securitate ale difuzoarelor inteligente .

Și, pentru a fi corecți, difuzoarele inteligente precum Echo și Google Home au avut parte echitabilă de incidente de coșmar pentru a justifica suspiciuni și neîncredere în fiabilitatea lor. Dar, în timp ce instalarea unui difuzor inteligent în casa dvs. vine cu compromisuri de securitate, deseori le înțelegem greșit, exagerându-le pe cele mai puțin critice, neglijând în același timp riscurile mai grave.

Iată ce trebuie să știți despre implicațiile de securitate și confidențialitate ale difuzoarelor inteligente, atât miturile, cât și realitățile.

1) Difuzoarele inteligente ascultă întotdeauna

Unul dintre primele lucruri pe care le veți auzi despre difuzoarele inteligente, cum ar fi ecoul, este că acestea „vă ascultă întotdeauna” conversațiile - ceea ce este corect din punct de vedere tehnic. Dar adesea greșim „ascultând mereu” cu „înregistrând mereu”.

„Echo nu înregistrează tot ceea ce spui în prezența sa”, spune Lane Thames, cercetător senior în securitate la Tripwire. „Înregistrarea nu începe până când nu o„ trezești ”spunând cuvântul său de veghe, cum ar fi„ Alexa ”.”

Cu toate acestea, dacă sunetul nu este dezactivat, difuzorul dvs. păstrează înregistrarea sunetului în valoare de câteva secunde. „Această înregistrare vocală limitată locală este doar în scopul detectării de către dispozitiv a cuvântului de veghe”, spune Thames.

Odată ce declanșați un difuzor inteligent, acesta începe să înregistreze și să vă trimită vocea către serverele sale, unde are loc procesarea reală.

„Cea mai mare parte a procesării (inteligență artificială și prelucrarea limbajului natural ) se face în cloud și înregistrările vocale se fac numai în timp ce dispozitivul este în modul de activare ”, spune Thames. Fiecare dispozitiv are un indicator care să arate clar când înregistrează și trimite date în cloud. Pentru Echo, este inelul luminos de deasupra dispozitivului. Pentru Google Home, sunt luminile rotative colorate.

„Aceste înregistrări sunt stocate astfel încât dispozitivul dvs. Echo, împreună cu Alexa cuplat cu contul dvs. Alexa, să poată învăța și deveni„ mai inteligent ”în timp”, spune Thames. „Acest lucru se face prin AI și algoritmi de învățare continuă pe baza activităților și comenzilor dvs. vocale stocate. ”

Asta nu înseamnă că dispozitivele nu greșesc. Majoritatea înfiorătorilor Amazon Alexa poveștile despre care auziți sunt rezultatul difuzării inteligente a cuvântului greșit și a interpretării greșite a unor conversații pentru comenzi. Și, în unele cazuri, defectele pot face ca dispozitivele să înceapă să înregistreze atunci când nu li se cere să facă acest lucru, așa cum a descoperit un blogger tehnic cu Google Home Mini anul trecut.

Dar aceasta nu este funcționalitatea prevăzută a dispozitivelor. Companiile care dezvoltă difuzoare inteligente remediază în permanență erori și corecții pentru a împiedica dispozitivele lor să înregistreze din greșeală vocile utilizatorilor lor. Din păcate pentru ei, de fiecare dată când dispozitivele lor fac ceva ciudat, tinde să-și găsească rapid drumul în știri.

'Funcția de înregistrare este exagerată, deoarece auzim doar despre problemele izolate și de la caz la caz și le generalizăm la o problemă sistemică', spune Anubhav Arora, arhitect șef la Fidelis Cybersecurity.

Potrivit Arora, majoritatea dispozitivelor au setări și caracteristici care pot ajuta utilizatorii să minimizeze posibilitatea de trezire și înregistrare accidentală. De exemplu, Echo le permite utilizatorilor să schimbe cuvântul de veghe pentru a evita confuzia în cazul în care cineva din casa ta este numit Alexa. Unele dispozitive, cum ar fi Google Home, permit utilizatorilor să-și instruiască dispozitivele pentru a se obișnui cu vocea lor pentru a împiedica alte persoane să o declanșeze accidental (sau intenționat).

„Folosirea disciplinei simple pentru a reduce riscul înregistrărilor neintenționate (schimbarea cuvintelor de trezire, utilizarea antrenamentului vocal, amintirea pentru a opri dacă este cu adevărat nevoie) face ca difuzoarele să fie o extensie sigură a serviciilor digitale, doar bazate pe voce”, notează Arora.

Echo Dot pe noptieră

2) Companiile de tehnologie păstrează înregistrări ale vocii dvs.

O altă preocupare legată de difuzoarele inteligente este faptul că le permiteți producătorilor să vă stocheze înregistrările vocale. Din nou, aceasta este o problemă de confidențialitate, dar nu mai mare decât ceea ce aveți deja de-a face online.

„Interacțiunile vocale cu difuzoarele inteligente sunt o extensie a activității web pe care o faceți într-un browser”, spune Arora. „De exemplu, este posibil să faceți o interogare într-un browser de pe site-ul Google sau prin difuzorul său inteligent.”

Arora mai spune că, în cazul unor companii precum Google, există șansa probabil că le încredințați deja e-mailurile, fotografiile și documentele online, ceea ce poate reprezenta un risc mult mai mare de confidențialitate și securitate decât stocarea comenzilor vocale, deoarece „ e-mailurile pot conține documente, contracte și alte interacțiuni pe care interacțiunile vocale nu le surprind. ”

CITESTE MAI MULT:

Cu toate acestea, acest lucru nu înseamnă că ar trebui să respingeți implicațiile privind confidențialitatea de a permite Google sau Amazon să vă stocheze înregistrările vocale. „Fie că este vorba de un e-mail stocat sau de o conversație pe care ați avut-o cu un difuzor inteligent, ambele conțin informații care vă sunt legate ca individ”, spune Gary Davis, evanghelist șef al securității consumatorilor la McAfee.

În timp ce majoritatea utilizatorilor de e-mail înțeleg că furnizorul lor își stochează mesajele, mulți utilizatori de boxe inteligente ar putea să nu înțeleagă pe deplin că fragmentele de voce sunt stocate atunci când livrează comenzi. La fel de important, toți producătorii de boxe inteligente vă permit să accesați sau să ștergeți înregistrările vocale de pe serverele lor. Davis vă recomandă să examinați în mod obișnuit cererile pe care le-a acționat difuzorul inteligent pentru a înțelege modurile în care este posibil să fi fost utilizate, de care nu sunteți conștient.

„Încrederea este esențială aici, precum și toleranța la risc”, spune Thames, cercetătorul în securitate de la Tripwire. „Utilizatorii care doresc să utilizeze tehnologia în lumea de astăzi trebuie să facă față riscului pe care îl întâmpină atunci când utilizează o tehnologie față de beneficiile obținute.”

Riscurile de atenuare vor depinde parțial de utilizarea dispozitivelor de la furnizori care respectă practici solide de securitate și care au câștigat încrederea utilizatorilor.

„Este imposibil să implementăm sisteme cu o securitate perfectă. Vânzătorii buni vor răspunde rapid și transparent la problemele de securitate ”, spune Thames, adăugând că Google și Amazon au făcut o treabă excelentă prin asigurarea securității sistemelor împotriva atacurilor cibernetice.

Cu toate acestea, dacă aceleași companii folosesc datele dvs. vocale în alte scopuri sau permit agențiilor de spionaj să le acceseze în programele lor de supraveghere este o altă întrebare.

google home amazon echo

3) Difuzoarele inteligente reprezintă amenințări unice

Difuzoarele inteligente au propriul set de amenințări unice de care ar trebui să fiți conștienți. La fel ca orice dispozitiv conectat la internet, dacă hackerii reușesc să vă compromită difuzorul inteligent, îl vor putea exploata în scopuri nefaste. Abilitățile terților pe care dezvoltatorii le pot crea pentru difuzoarele inteligente sunt de o preocupare specială.

„De aici vine funcționalitatea asistentului”, spune Thames, „iar aceste servicii de backend atât de la furnizori, cât și de la terți sunt locul în care se află adevărata suprafață de atac pentru aceste dispozitive.” Thames adaugă că, în timp ce furnizorii precum Amazon și Google lucrează din greu pentru a se asigura că aplicațiile și abilitățile terților sunt verificate din punct de vedere al securității, niciun sistem nu este perfect și aplicațiile proaste pot intra în drum.

Alți experți sunt de acord. „Actorii răi caută în mod activ modalități de a exploata difuzoarele inteligente”, spune Davis McAfee, numind „ voce ghemuit ”Atacurile ca exemplu. În ghemuirea vocii, hackerii dezvoltă abilități inteligente de difuzoare, invocate de comenzi care sună ca cele utilizate de aplicațiile legitime. Când utilizatorii exprimă comanda, abilitatea rău intenționată este lansată în locul celei reale. După aceea, atacatorii pot face alte activități, cum ar fi ascultarea sau phishingul.

CITESTE MAI MULT:

Într-un alt caz, cercetătorii de la Checkmarx a dezvoltat o abilitate Alexa rău intenționată care ar continua să înregistreze vocea utilizatorului atunci când nu bănuiau. Acesta este echivalentul dezvoltării de aplicații malware și malware pentru smartphone-uri și computere.

Atât Amazon, cât și Google se străduiesc să depășească vulnerabilitățile descoperite și să elimine abilitățile rău intenționate din magazinele lor de aplicații. „Se dovedește, în acest tip de piață, că banii sunt câștigați prin realizarea de aplicații și abilități bune și că este greu și costisitor să obții abilități bazate pe malware sau bazate pe malware pentru a deveni popular”, spune Thames.

O altă amenințare la care ar trebui să fii atent este declanșarea nedorită a abilităților. Este amuzant când a Reclama Burger King forțează difuzorul inteligent să-și descrie burgerul Whopper, dar nu atât de mult atunci când hackerii folosesc aceeași metodă pentru a forța difuzorul să îndeplinească sarcini mai critice. De exemplu, hackerii vă pot trimite un e-mail de phishing și vă pot atrage să faceți clic pe un link către un site web care redă un fișier audio care comandă Alexa sau Google să facă o achiziție sau să deblocheze ușa casei dvs. Atacul este greu de tras, dar se poate întâmpla. Și cu suficientă grijă, atacatorii pot modificați frecvențele audio astfel încât să nu auziți comanda în timp ce vorbitorul dvs. o face.

Pentru a vă proteja acest tip de atac, cel mai bun lucru pe care îl puteți face este să limitați accesul utilizatorului la funcții critice, cum ar fi efectuarea de achiziții prin setarea codurilor PIN pe acestea sau legarea acestora la o voce specifică pentru a preveni activarea arbitrară a abilităților.

Să nu ne sperii

Difuzoarele inteligente sunt o tehnologie relativ nouă și încă aflăm impactul lor la diferite niveluri. Sunt un instrument printre multe și, la fel ca majoritatea tehnologiilor, vin cu beneficiile și compromisurile lor. Este important să înțelegeți riscurile de securitate - la urma urmei, instalați un microfon conectat la internet în casa dvs., dar să nu le exagerați.