[調査発表] アマゾンエコーで盗聴ができることが遂に明らかに

IoTセキュリティニュース

amazon-echo.jpg

Siri対応のApple HomePod、Google Home、アレクサのAIを搭載したアマゾン エコーなどのスマートスピーカーの登場により、私たちに便利なサービスを提供すると同時にプライバシーの保護が目下の課題になっています。
と同時に「これらの製品を盗聴デバイスとして使用できるのでは?」と考える人も少なくありません。

そして、その考えは正しかったことが証明されてしまいました。
二人の調査員がアマゾン エコーにマルウェアを送り込み、「バグ」に変えられることを発見したのです。


音声対応のスマートスピーカーは、(いつ呼びかけられても反応できるように)技術的には常にオンの状態になっていますが、起動の合図を聞いた後にのみ、クラウドとの間で情報をストリーミングします。エコーの場合は、AIの名前である「アレクサ」を呼び出します。

ユーザーはエコーに、天気や一般的な知識の質問、数学の宿題などを尋ねたり、あなたの音楽ライブラリから音楽をかけるように指示したりします。エコーの中のアレクサは要求されたアクションを実行すると、クラウドへのすべての接続を切り、起動の合図だけを聞く状態に戻ります。しかし、別の質問が続く可能性が高い場合は、アレクサは引き続きリスニングを行います。

企業向けセキュリティソフトウェアメーカーであるCheckmarx リサーチラボのMaty Siman氏とShimi Eshkenazi氏がエコーにマルウェアを仕込んで盗聴デバイスに変える方法を見つけたのは、まさにこの部分でした。

二人は、アレクサとの会話の接続時間を延長し、エコーの周りの会話を録音して彼らのコマンド&コントロールセンター(C&Cサーバ)に送ることに成功しました。しかし同時に、アレクサがアクティブな状態でリスニングを行っていることを示すインジケーター(エコーの上部にある青いリング)を無効にする方法は見つけられなかったとのことです。


彼らの発見は、Checkmarx社のWEBサイトにおいて詳細な技術報告書(英語)にまとめられています。

この発見の直後に、Maty Siman氏とShimi Eshkenazi氏の二人は調査結果を持ってアマゾンラボ126を訪れ、チームと緊密に協力して修正の開発を行いました。しかし、そもそも盗聴が可能であり、おそらくまた将来同じ事を行うことができるということが明らかになったことは、安心できるものではありません。



翻訳元記事(Bitdefender BOX Blog - IoT Security Insights):26 April 2018

Researchers show how Amazon Echo can be used for eavesdropping



gotoproduct.png