Razvoj tehnologije IoT (Internet of Things) omogućuje implementaciju umjetne inteligencije u gotovo svaki uređaj koji već koristimo u svojim domovima. Tako u posljednjih godinu dana imamo poplavu pametnih televizora, frižidera, usisavača, kreveta i svega ostaloga… Naravno, sve je to ekstremno zanimljivo i u većini slučajeva iznimno korisno, ali postoji i druga strana priče, koja se tiče vječne dvojbe vezane uz (ne)sigurnost svih tih uređaja i njihovih operativnih sustava. Da, ako se bojite da vas preko nekog od IoT-uređaja špijuniraju, takav scenarij nije nimalo nemoguć, dapače.
Amazon Echo jedan je od najpopularnijih uređaja iz kategorije IoT. Riječ je o pametnom zvučniku koji se vrlo dobro prodaje i koji koriste milijuni ljudi. Nažalost, Amazon Echo relativno se lako, brzo i jednostavno može pretvoriti u uređaj za špijuniranje i praćenje, a to je dokazao i demonstrirao britanski računalni i sigurnosni istraživač Mark Barnes, koji je Amazon Echo iz pametnog zvučnika “nadogradio” u “pametni prislušni uređaj”. Vezano uz tu metodu, zanimljivo je da se ne radi samo o softverskom upadu u Amazon Echo, nego je iskorišten propust u hardveru.
Da, od Amazon Echo zvučnika napravili smo uređaj za prisluškivanje koji je sve glasovne zapise distribuirao na udaljeni server, objasnio je Barnes.
Svi Amazon Echo uređaji koji su prodani prije 2017. u sebi imaju sigurnosni propust koji se krije u samom uređaju, odnosno njegovim fizičkim komponentama. Da bi se to iskoristilo, dovoljno je maknuti gumenu podlogu na podnožju kućišta, što omogućuje pristup svojevrsnoj mreži metalnih pločica ili jastučića, koji su, pretpostavlja Barnes, u ranijim verzijama uređaja korišteni kao svojevrsni testeri za otkrivanje propusta u samom uređaju.
Barnes je jednostavno “prespojio” jedan od tih jastučića na SD-karticu i svoj prijenosnik, instalirao poseban “bootloader” u Amazon Echo i pretvorio ga u uređaj koji može u potpunosti nadzirati i prisluškivati svaku naredbu. Logično je postavljeno pitanje kako bi netko tko želi “oteti” Amazon Echo trebao pristupiti samom uređaju, a da ne ostavi tragove. Barnes tu ne smiruje potencijalne paranoike koji se pribojavaju prisluškivanja, dapače, njegovo iduće objašnjenje probudit će u njima dodatni strah i nelagodu…
Sasvim sigurno potencijalni napadač neće raditi ono što sam ja radio, ali postoji mogućnost da unaprijed pripremi uređaj kojim će spojiti Amazon Echo na svoje računalo ili server, i to bežično. Uostalom, neki kolege to su već napraviti s ispisanim 3D-dodacima. Sve što napadač treba napraviti jest micanje gumene podloge, prespajanje metalnih konektora i vraćanje podloge. Minuta posla, tvrdi Barnes i naglašava da su posebno opasni Amazon Echo uređaji koji se koriste na javnim mjestima, primjerice u hotelima, gdje nemate mogućnost konstantnog i potpunog nadzora.
Rješenje je, naravno, tu, ali nije stiglo iz Amazona, koji je samo poručio da Echo uređaje uvijek treba kupovati izravno od njih, a ni sigurnosna nadogradnja OS-a neće pomoći jer je riječ o hardverskom propustu. Ali tu je opet Barnes koji poručuje: Ako se bojite da vas netko prisluškuje ili imate kompromitirani Amazon Echo, dovoljno je da pritisnete dugme “mute” na njemu. Ne postoji mogućnost da se softverski aktivira i ako je pritisnuto, nema mogućnost prisluškivanja. Ali, u tom slučaju i sam Amazon Echo postaje gotovo neupotrebljiv.
