Алекса, шпионираш ли ме?

Алекса, шпионираш ли ме?

През май устройство Amazon Echo произволно записал личния разговор на семейство от Портланд и го изпрати на случаен човек в списъка им с контакти, като отново се разтревожи недостатъците на сигурността на интелигентните високоговорители .


optad_b

И за да бъдем честни, интелигентните високоговорители като Echo и Google Home имаха своя справедлив дял от кошмарни инциденти, за да оправдаят подозрения и недоверие в тяхната надеждност. Но докато инсталирането на интелигентен високоговорител във вашия дом идва с компромиси за сигурността, ние често ги разбираме погрешно, като преувеличаваме по-малко критичните, като пренебрегваме по-сериозните рискове.

Ето какво трябва да знаете за последиците за сигурността и поверителността на интелигентните високоговорители, както митовете, така и реалността.



1) Интелигентните високоговорители винаги слушат

Едно от първите неща, които ще чуете за интелигентни високоговорители като ехо, е, че те „винаги слушат“ вашите разговори - което е технически правилно. Но често бъркаме „винаги слушам“ с „винаги записвам“.

„The Echo не записва всичко, което казвате в негово присъствие“, казва Лейн Темза, старши изследовател по сигурността в Tripwire. „Записът не започва, докато не го„ събудите “, като произнесете неговата будна дума, като„ Alexa “.“

Освен ако не е заглушен, високоговорителят ви запазва звукозапис на стойност няколко секунди. „Този ​​ограничен локален запис на глас е само за целта на устройството да разпознае своята будна дума“, казва Темза.

След като задействате интелигентен високоговорител, той започва да записва и изпраща гласа ви до сървърите му, където се извършва истинската обработка.



„По-голямата част от обработката (изкуствен интелект и обработка на естествен език ) се извършва в облак и гласовите записи се правят само докато устройството е в режим на активиране, “казва Темза. Всяко устройство има индикатор, който ясно да показва, когато записва и изпраща данни в облака. За Echo това е светлинният пръстен в горната част на устройството. За Google Home това са въртящите се цветни светлини.

„Тези записи се съхраняват, така че вашето устройство Echo, заедно с Alexa, заедно с вашия акаунт в Alexa, да могат да се научат и да станат„ по-умни “с течение на времето“, казва Темза. „Това се прави чрез AI и алгоритми за непрекъснато обучение въз основа на вашите съхранени гласови контроли и дейности. '

Това не означава, че устройствата не правят грешки. Повечето от зловещите Amazon Alexa историите, за които чувате, са резултат от събуждането на интелигентния високоговорител с грешна дума и неправилно тълкуване на битове от разговори за команди. И в някои случаи недостатъците могат да накарат устройствата да започнат да записват, когато не им е заповядано, както установи един технически блогър с Google Home Mini миналата година.

Но това не е предвидената функционалност на устройствата. Компаниите, които разработват интелигентни високоговорители, непрекъснато отстраняват грешки и отстраняват недостатъци, за да не позволят на устройствата им да записват неволно гласовете на потребителите си. За тяхно съжаление, всеки път, когато устройствата им правят нещо странно, те са склонни бързо да намерят своя път в новините.

„Функцията за запис е преувеличена, тъй като чуваме само за изолирани и за всеки отделен случай проблеми и ги обобщаваме до системен проблем“, казва Анубхав Арора, главен архитект във Fidelis Cybersecurity.

Според Arora повечето устройства имат настройки и функции, които могат да помогнат на потребителите да сведат до минимум възможността от случайно събуждане и запис. Например Echo позволява на потребителите да променят думата за събуждане, за да избегнат объркване, в случай че някой в ​​дома ви е наречен Alexa. Някои устройства, като Google Home, позволяват на потребителите да обучават устройствата си да свикват с гласа им, за да предотвратят случайно (или умишлено) задействане на други хора.



„Използването на проста дисциплина за намаляване на риска от неволни записи (промяна на будни думи, използване на гласово обучение, не забравяйте да изключите, ако наистина е необходимо) прави високоговорителите сигурно продължение на цифрови услуги, само базирани на глас“, отбелязва Арора.

Echo Dot на нощното шкафче

2) Техническите компании пазят записи на вашия глас

Друга грижа около интелигентните високоговорители е фактът, че позволявате на техните производители да съхраняват вашите гласови записи. Отново това е проблем за поверителността, но не по-голям от това, с което вече имате работа онлайн.

„Гласовите взаимодействия с интелигентни високоговорители са разширение на уеб активността, която човек прави в браузър“, казва Арора. „Например, възможно е да направите заявка в браузър на уебсайта на Google или чрез неговия интелигентен високоговорител.“

Arora също така казва, че в случай на компании като Google има вероятност вече да им поверите имейлите, снимките и онлайн документите си, което може да бъде много по-голям риск за поверителност и сигурност, отколкото съхраняването на гласовите ви команди, защото „ имейлите могат да съдържат документи, договори и други взаимодействия, които гласовите взаимодействия не улавят. '

ПРОЧЕТЕТЕ ОЩЕ:

Това обаче не означава, че трябва да отхвърлите последиците за поверителността, като позволите на Google или Amazon да съхраняват вашите гласови записи. „Независимо дали става въпрос за имейл, който се съхранява, или за разговор, който сте провели с интелигентен високоговорител, и двамата съдържат информация, която е обвързана с вас като личност“, казва Гари Дейвис, главен евангелизатор на потребителската сигурност в McAfee.

Докато повечето потребители на имейли разбират, че техният доставчик съхранява техните съобщения, много потребители на интелигентни високоговорители може да не разберат напълно, че гласовите откъси се съхраняват, когато доставят команди. Също толкова важно е, че всички производители на интелигентни високоговорители ви позволяват достъп или изтриване на вашите гласови записи от техните сървъри. Дейвис препоръчва редовно да преглеждате исканията, по които е действал интелигентният високоговорител, за да разберете начини, по които може да е бил използван, за които не сте запознати.

„Доверието е ключово тук, както и толерантността към риска“, казва Темс, изследовател по сигурността от Tripwire. „Потребителите, които искат да използват технология в днешния свят, трябва да компенсират риска, пред който е изправен, когато използват технология, спрямо получените ползи.“

Намаляването на рисковете отчасти ще зависи от използването на устройства от доставчици, които следват надеждни практики за сигурност и са спечелили доверието на потребителите.

„Невъзможно е да се внедрят системи с перфектна сигурност. Добрите доставчици ще реагират на проблемите със сигурността бързо и прозрачно “, казва Темс и добавя, че Google и Amazon са свършили чудесна работа, за да защитят своите системи срещу кибератаки.

Дали обаче същите тези компании използват гласовите ви данни за други цели или позволяват на шпионските агенции да имат достъп до тях в своите програми за наблюдение е друг въпрос.

Google Home Amazon echo

3) Интелигентните високоговорители представляват уникални заплахи

Интелигентните високоговорители имат свой собствен набор от уникални заплахи, за които трябва да знаете. Както всяко свързано с интернет устройство, ако хакерите успеят да компрометират вашия интелигентен високоговорител, те ще могат да го използват за подли цели. Уменията на трети страни, които разработчиците могат да създадат за интелигентни високоговорители, са от особено значение.

„Оттук идва функционалността на асистента - казва Темза, - а тези бекенд услуги както от доставчици, така и от трети страни са истинската повърхност на атака за тези устройства.“ Темз добавя, че докато доставчици като Amazon и Google работят усилено, за да гарантират, че приложенията и уменията на трети страни се проверяват за сигурност, никоя система не е перфектна и лошите приложения могат да проникнат.

Други експерти са съгласни. „Лошите актьори активно търсят начини да използват интелигентни високоговорители“, казва Дейвис от McAfee, назовавайки „ глас клекнал ”Атаки като пример. При клякане на глас хакерите развиват интелигентни умения за говорители, които се извикват от команди, които звучат като тези, използвани от легитимни приложения. Когато потребителите произнесат командата, злонамереното умение се стартира вместо истинското. След това нападателите могат да извършват други дейности като подслушване или фишинг.

ПРОЧЕТЕТЕ ОЩЕ:

В друг случай изследователи от Checkmarx разработи злонамерено умение Alexa което ще продължи да записва гласа на потребителя, когато той не подозира. Това е еквивалент на разработването на злонамерени приложения и зловреден софтуер за смартфони и компютри.

Както Amazon, така и Google правят всичко възможно, за да поправят откритите уязвимости и да премахнат злонамерени умения от своите магазини за приложения. „Оказва се, че при този тип пазар парите се правят чрез създаване на добри приложения и умения и е трудно и скъпо да се получат базирани на злонамерен софтуер или злонамерени умения, за да станат популярни“, казва Темс.

Друга заплаха, за която трябва да внимавате, е нежеланото задействане на умения. Смешно е, когато a Реклама на Burger King принуждава вашия интелигентен високоговорител да описва своя бургер Whopper, но не толкова, когато хакерите използват същия метод, за да принудят вашия високоговорител да изпълнява по-критични задачи. Например хакерите могат да ви изпратят фишинг имейл и да ви примамят да щракнете върху връзка към уебсайт, който възпроизвежда аудио файл, който заповядва на Alexa или Google да направят покупка или да отключат вратата на вашия дом. Атаката е трудна за изтегляне, но може да се случи. И с достатъчно внимание, нападателите могат промяна на аудио честотите така че да не чувате командата, докато говорителят ви го чува.

За да се предпазите от този тип атака, най-доброто нещо, което можете да направите, е да ограничите достъпа на потребителя до критични функции, като например извършване на покупки, като им зададете ПИН кодове или ги обвържете с определен глас, за да предотвратите произволно активиране на умения.

Нека не се шашкаме

Интелигентните високоговорители са сравнително нова технология и ние все още учим тяхното въздействие на различни нива. Те са инструмент сред много хора и като повечето технологии идват със своите предимства и компромиси. Важно е да разберете рисковете за сигурността - в края на краищата инсталирате свързан с интернет микрофон в дома си, но не ги преувеличавайте.