快適さを好む人なら、おそらくすでに Echo スピーカーを使ったことがあるか、あるいは長期間所有していることさえあるでしょう。 Amazon の Alexa は、簡単なアナウンスでさまざまなタスクを実行できるため、少なくとも多くの人にとって魅力的です。しかし、科学者たちは現在、デジタル アシスタントをだまして自分自身に音声コマンドを与える方法を発見しました。
Amazon: エコー攻撃がAlexaのスキルを自分自身に向ける
ロンドンのロイヤル・ホロウェイ大学 (RHUL) の研究者らは、「Alexa vs Alexa (AvA)」と呼ばれる新しい形式の攻撃を使用して、音声コマンドを含む音声ファイルと音声再生方法を組み合わせることで Amazon の Echo を乗っ取ることができることを実証しました。攻撃者は、まったく新しい方法で、誰にも気づかれずにスピーカーを簡単に制御できるようになりました。
「AvA は、Echo デバイス上の Alexa が、デバイス自体で再生された音声ファイルであっても、音声ファイルからの音声コマンドを正しく解釈するという事実を利用しています。したがって、AvA では、被害者のエコーの近くに詐欺的なスピーカーを設置する必要がなくなります。」
Proceedings of the 2022 ACM Asia Conference on Computer and Communications Security (ASIA CCS ’22) に掲載された研究によると、攻撃者は自己起動型の音声コマンドを使用して、「Echo スピーカーを起動し、不要な製品を購入し、リンクされたカレンダーを変更し、ユーザーが音声を聞く」ことができるとのことです。外。”
AmazonのAlexaへの攻撃はこうなる
これは、互換性のあるデバイスが操作されたファイルをそれ自体で再生する場合に詳細に可能になります。これは、たとえば、攻撃者がこの目的のために用意した Alexa スキルを被害者に使用させることで実行できます。これにより、破損したオーディオ ファイルを再生するインターネット ラジオと思われるストリームが再生される可能性があります。
誰もが自分の Alexa スキルをプログラムして公開できるため、これは特に危険です。研究者らによると、このエラーは第3世代と第4世代のEcho Dotデバイスで見つかったという。ただし、The Register が報じているように、現在は修正されています。