Qui peut transformer votre Amazon Echo en un appareil d’espionnage à part entière?
Amazon Echo est un service intelligent à activation vocale qui vous permet d’accomplir des choses en utilisant votre voix, comme jouer de la musique, régler des alarmes et répondre à des questions. Cependant, l’appareil ne reste pas activé tout le temps ; au lieu de cela, il dort jusqu’à ce que l’utilisateur dise « Alexa », et par défaut, il termine une session après une certaine durée.
Amazon permet également aux développeurs de construire des applications personnalisées pour Alexa, qui est le cerveau derrière des millions de dispositifs intelligents à commande vocale, y compris Amazon Echo Show, Echo Dot et Amazon Tap.
Rien de malveillant jusqu’ici n’est-ce pas?
Les chercheurs en sécurité de l’entreprise de cybersécurité Checkmarx ont créé une compétence vocale de preuve de concept pour Alexa qui oblige le dispositif à enregistrer indéfiniment les bruits environnant pour écouter secrètement les conversations des utilisateurs, puis à envoyer les transcriptions complètes sur un site Web tiers.
Déguisée en simple calculatrice pour résoudre des problèmes mathématiques, la compétence malveillante, si elle est installée, est immédiatement activée en arrière-plan après qu’un utilisateur dit « Alexa, ouvre la calculatrice ».
« La compétence de la calculatrice est initialisée, et la fonction API\Lambda associée à la compétence reçoit une demande de lancement en entrée », ont déclaré les chercheurs.
Les développeurs montrent aussi que lorsqu’un utilisateur ouvre une session avec l’application calculatrice (en arrière-plan), il crée en même temps une deuxième session d’utilisation du microphone, et ce sans avis ou notification de l’utilisateur.
De par sa conception, Alexa devrait soit mettre fin à une session, soit demander à l’utilisateur une autre commande pour garder la session ouverte. Cependant, l’application pourrait permettre aux attaquants de garder la session d’espionnage active tout en mettant fin à la session primaire (calculatrice)lorsque le temps d’inactivité dépasse les limites.
Heureusement, l’activation du micro est facilement observable. Si vous remarquez que le voyant bleu de votre appareil Echo est activé pour une plus longue période que nécessaire, il y a sans doute un problème derrière.
Checkmarx a signalé la situation à Amazon, et l’entreprise a déjà résolu le problème en recherchant les compétences malveillantes qui « incitent au silence ou qui écoutent pendant des périodes de temps inhabituelles » et en les expulsant de leur magasin officiel.
