Des pirates ont trouvé des failles permettant d’utiliser l’Amazon Echo comme périphérique d’espionnage

Par

le

Lors de l’événement DEFCON à Las Vegas, des chercheurs en sécurité chinois présenteront leur piratage de l’Amazon Echo, transformant l’appareil en un dispositif d’espionnage.

Certaines personnes craignent que les pirates informatiques s’infiltrent dans leurs enceintes intelligentes et les espionnent, mais cela n’a pas été la réalité jusqu’à présent … tout au moins pour l’Amazon Echo. Une équipe de chercheurs chinois de Tencent est cependant très proche d’y parvenir. Ils ont révélé une attaque sur l’Echo qui utilise à la fois un haut-parleur modifié et une chaîne de vulnérabilités de l’interface Web Alexa pour espionner à distance les modèles normaux. Cela semble néfaste, mais cela nécessite plus de mesures que ce qui serait viable pour la plupart des personnes mal intentionnées.

L’équipe a créé un Echo rogue en supprimant une puce de mémoire flash de l’appareil, en modifiant son micrologiciel pour obtenir un accès root, et en le soudant sur sa carte de circuit imprimé. Après cela, le groupe a placé le haut-parleur sur le même réseau Wi-Fi que les Echo non modifiés. Les chercheurs ont utilisé le protocole de communication complet d’Amazon ainsi que les failles de l’interface Alexa (notamment la redirection d’adresse et les scripts intersites) pour contrôler entièrement les haut-parleurs des victimes, y compris l’enregistrement silencieux et la lecture.

Amazon a déjà corrigé les vulnérabilités Internet associées. En l’état actuel des choses, la probabilité d’une attaque dans le monde réel était faible. Un soi-disant espion devrait savoir comment démonter l’Echo, identifier (et se connecter) à un réseau avec d’autres enceintes connectées et enchaîner de multiples exploits. Cela serait très utile dans les hôtels et autres endroits où un pirate informatique pourrait à la fois s’attendre à trouver des haut-parleurs intelligents tout en ayant la possibilité de pirater sans attirer trop l’attention. S’il y a un problème plus important, c’est que cela démontre qu’un exploit d’espionnage est possible en premier lieu, même s’il est peu probable.

Les deux chercheurs, Wu Huiyu et Qian Wenxiang, présenteront leur piratage de l’Amazon Echo lors de l’événement DEFCON à Las Vegas.