Google Home、Amazon Echo、HomePod: 接続されたスピーカーのハッキングを心配する必要がある理由

Google Home、Amazon Echo、HomePod…コネクテッドスピーカーが家庭に普及する一方で、著作権侵害の問題がますます浮上しています。無害に見えるかもしれませんが、接続されたスピーカーは実際には、接続されたオブジェクトを制御したり、アプリケーションを起動したり、購入したりすることさえできます。ただし、ソフトウェアのセキュリティの脆弱性に加えて、音声コマンドを伴ういくつかの種類の攻撃に対しても脆弱です。

Google HomeといえばAmazon Echoまたはホームポッド私たちはセキュリティの問題を軽視する傾向があります。しかし、強力なパーソナル アシスタントである Google アシスタント、Amazon Alexa、または Siri に接続されたこれらのスピーカーは、被害者がプログラムを開いたり、ハイジャックされた Web ページにアクセスしたりすることを直接伴わない新しいタイプの攻撃を実行できるハッカーに新たな可能性を開きます。などの例があります。これらのアシスタントの動作方法に基づいて、プログラムをリモートで起動したり、Web ページを開いたり、購入を行ったり、接続されているオブジェクトを制御したりすることも可能です。マイクを制御して会話を監視する。

Google Home、Amazon Echo、HomePod はソフトウェア攻撃に対して脆弱です。基本的に、これらのスピーカーは実際にはインターネットに常時接続されているコンピューターです。 2017 年、セキュリティ研究者 Mark Ba​​rnes (MWR Info Security) は、Amazon Echo にインストールされている Linux 亜種のセキュリティ脆弱性を悪用して、リモート管理者権限でコマンド プロンプトを開く方法を示しました。発言者が何を発言してもよいようにします。また、たとえば、マイクを聞いて Amazon Echo の周りで行われているすべての会話をスパイすることもできます。

もちろん、ソフトウェア部分にはパッチを適用することができ、定期的な更新により、この面ではセキュリティが十分に保証されます。しかし、より卑劣で回避が難しい他の種類の攻撃もあります。 1 つ目は、単純にスピーカーに話しかけてアクションを実行させようとすることです。たとえば、ハッカーはビデオに「OK Google」、「Hey Siri」、または「Alexa」という単語を入力し、その後に実行するアクションを挿入することができます。たとえば、Amazon Alexa などのスピーカーで起動できます。スキル非公式。検出されにくくするために、ハッカーはコマンドを同音異義語の文、つまりコマンドと同じように聞こえる（コマンドとして理解される）中に隠すことができます。

目立たないように、あるいは聞こえないように命令することも可能です。

より高度なバリエーションは、このタイプの攻撃と秘密のマルウェア アプリケーションを組み合わせる方法です。たとえば、一般的なプログラムは通常どおりに機能しますが、音声コマンドを認識し、音声アシスタントに特定の方法で応答するよう命令すると同時に、悪意のあるコードの起動や Web ページのオープンを引き起こすことができます。したがって、YouTube ビデオ内でブロードキャストされる慎重なコマンドは、悪意のあるアプリケーションの起動や別のアプリケーションの起動を引き起こす可能性があり、その結果、アシスタントは、たとえば、アプリケーションが実行中に閉じられたことを示唆するような応答を返すことになります。背景にあります。

これら 2 つのテクニックも話題になっています。中国科学院の出版物。最後に、これは間違いなくより懸念すべきことですが、完全に人間の耳には聞こえないコマンドを発行してハッキングの試みを隠す。 2018 年 5 月の記事で、ニューヨーク タイムズは、超音波帯域で音声コマンドが与えられると、Siri、Alexa、Google アシスタントはすべて応答する、つまり Dolphin Attack と呼ばれる攻撃であると報じました。次のビデオでは、浙江大学の研究者が iPhone に対する攻撃を実演しています。ただし、このタイプのコマンドでは、超音波を拡散するデバイスにターゲットが相対的に近接している必要があります。

後者は壁も通過しません。ただし、窓が開いているとうまくいきます。イリノイ大学の研究者らは、攻撃は 7 メートル強の距離でも実行できることを示しました。一方、スピーカー メーカーはすべて、スピーカーの安全性を確保するための措置を確実に講じています。 Apple は、HomePod がドアのロック解除などの特定の機密性の高い操作を実行できないことを保証し、特定の操作を実行する前に iPhone と iPad のロックを解除することを要求しています。

Google は、アシスタントに聞こえないコマンドに対するセキュリティ機能を備えていることを保証しています。最後に、Amazon は、Echo スピーカーを保護するための措置を講じたと述べて満足しています。ただし、この種の攻撃はこれらのスピーカーに対して依然として可能です。そして、ユーザー側で実際に自分自身を守る方法は、定期的にアップデートし、すべてのデバイスにインストールされているアプリケーションに細心の注意を払う以外にほとんどありません。 2018年1月の時点で、Google Homeは全世界で1,000万台を販売した。手頃な価格と積極的な商業政策 (Google Home Mini は他の購入品と一緒に提供されることもあります) により、これらのスピーカーはますます家庭内での地位を確立するでしょう。

今後登場する Amazon Echo、HomePod、Orange の接続スピーカー Djingo。接続されたスピーカーのセキュリティが大きな問題になる可能性があります。これらの新しいデバイスが家庭に侵入することと、それらがもたらすセキュリティ リスクについてどう思いますか?コメントであなたの意見を共有してください！