Une nouvelle menace appelée `` squattage de compétences '' découverte par l'UIUC
1 minute de lecture
Amazon Echo
Le monde change et à l'ère moderne, nous dépendons de jour en jour de nos appareils Internet des objets. Mais ces relations pourraient nous coûter tout, cela pourrait permettre à quelqu'un de voler notre identité, nos informations bancaires, nos antécédents médicaux, etc.
Amazon Alexa a été critiqué pour avoir un certain nombre de failles de sécurité, mais Amazon a été rapide pour les résoudre. Cependant, cette nouvelle faille de sécurité peut ne pas avoir de correctif du tout. Et cela pourrait être la menace de sécurité la plus dangereuse à ce jour.
D'après les recherches menée par l'Université de l'Illinois à Urbana-Champaign (UIUC), les idiosyncrasies d'Amazon Alexa peuvent être exploitées par le biais de commandes vocales pour diriger les utilisateurs vers des sites Web malveillants. Les pirates ciblent les failles des algorithmes d'apprentissage automatique pour accéder aux informations privées.
Une méthode appelée «Skill squatting» est créée par l'Université de l'Illinois aux chercheurs d'Urbana-Champaign et constitue une méthode efficace pour inciter Amazon Alexa à diriger les utilisateurs vers des plates-formes malveillantes à l'aide de commandes vocales sur les appareils Amazon Echo.
De nombreux utilisateurs prononcent souvent mal les mots, ce qui entraîne souvent des erreurs d'interprétation de la part d'Alexa, le moteur vocal qui alimente Amazon Echo. Les chercheurs ont utilisé 11 460 échantillons vocaux des mots de langue anglaise prononcés par les Américains.
Ils ont ensuite étudié où Alexa avait mal interprété les commandes vocales, à quelle fréquence elle le faisait et pourquoi. Ils ont pu constater que certaines interprétations erronées se produisent régulièrement.
Ainsi, en utilisant «Skill squatting», un pirate informatique peut utiliser ces erreurs systématiques pour diriger les utilisateurs d'Amazon Echo vers des applications malveillantes, des sites Web et risquer leurs informations privées. La méthode peut être utilisée pour cibler certains groupes démographiques, en particulier ceux qui ne parlent pas couramment l'anglais.
Dans une variante de l'attaque que nous appelons le squattage des compétences de lance, nous démontrons en outre que cette attaque peut être ciblée sur des groupes démographiques spécifiques. Nous concluons par une discussion sur les implications pour la sécurité des erreurs d'interprétation de la parole, des contre-mesures et des travaux futurs.
Le problème n'est peut-être pas une solution facile car il dépend des principes d'apprentissage automatique sur lesquels Alexa et d'autres machines IA sont construites. Amazon affirme avoir mis en place des mesures pour contrer ce problème, mais les recherches de l'Université de l'Illinois disent le contraire.
Ils affirment que ce ne sera pas une solution facile et entraînerait de graves problèmes à l'avenir.
Mots clés Alexa Amazone
