Amazon har, precis som Google, en serie så kallade smarta produkter med den egna digitala assistenten Alexa. Det är högtalare och andra enheter som kan styras med röstkommandon vilket betyder att de lyssnar, hela tiden, efter aktiveringskommandot. Det betyder också att produkterna kan användas för att spionera på dig – speciellt om det finns flera av Amazons produkter uppkopplade i samma nät.
Amazons Echo-enheter kan lyssna på varandra, om de är uppkopplade på samma lokala nätverk, och speciellt Amazon Fire 7 Kids tablet, en surfplatta anpassad för barn kan användas för att avlyssna det som sägs i ett uppkopplat hem exempelvis.
Missbrukas
Alexa har en valfri drop-in-funktion som gör att du kan lyssna på andra Alexa-enheter i ditt nätverk. Amazon avsåg att detta skulle användas som ett hemintercomsystem men det kan missbrukas. Tanken är att du ska kunna anropa olika rum, prata med andra via olika enheter som placerats ut i ditt hem – ett internt kommunikationssystem. Funktionen kan dock missbrukas och speciellt via en Amazon Fire 7 Kids surfplatta. De surfplattorna har två accessnivåer – en är för sin målgrupp: barn. Den andra är för vuxna att ställa in föräldrakontroll.
Även om surfplattan är avsedda för barn så har den fulla administrationsrättigheter och den kan användas för att lyssna på anslutna enheter.
Säkerhetskonsult
Richard Morell är säkerhetskonsult, grundare av säkerhetsföretaget Smoothwall, och han upptäckte nyligen att han och hans hem avlyssnad med hjälp av amason enheter och anslutna till hans konot, utan att han visste om det.
Morell, en före detta CTO i Gartner och Red Hat Lead Security Evangelist, kan säkerheten lika bra som baksidan av sin hand. När han fann sig själv som måltavla för en sofistikerad stalkingattack via en Amazon Fire 7 Kids-surfplatta som han inte visste var fortfarande kopplad till hans konto, blev han chockad. Någon lyssnade på honom och tittade på hans aktiviteter och inspelningar av det han gjorde i ungefär två år. Detta även efter att han ändrade sitt Amazon-konto, ändrade sin tvåfaktorsautentisering och använde en säker lösenordsgenerator för att skapa ett komplext lösenord. Han antog att han var säker. Det var han inte. Eftersom vuxenkontot på Amazon Fire 7 Kids-surfplattan var hans, gav detta personen som hade surfplattan full tillgång till sina Amazon-konton och data.
Surfplattor
När Morell kollade sitt konto för att se vilka enheter som var anslutna så syntes inte två Amazon Fire 7 Kids surfplattor då de var anslutna via det Amazon kallar för ”a trusted software token” som kan användas för att koppla upp andra enheter utan att kopplas till en persons konto.
The Amazon Fire 7 Kids tablet acted as a trusted software token — a skeleton key to his Amazon records and devices. With it, this person could obtain access not just to his Alexa devices, but to his Alexa Auto and the Alexa instance on his Android and Apple phones as well.
Enorma mängder data
När Richard Morell begärda ut all sin information som lagrats hos Amazon kom nästa chock. Det visade sig vara enorma mängder data som sträckte sig ända tillbaka till 2013.
I den information som han fick ut fanns praktiskt taget allting som enheterna hade spelat in:
Morrell added, “When I put a request in for all of my data, I would expect to receive 20 or 30 folders of data, 25 gigabytes of data, right? But what I actually got was several thousand folders of data where they give you absolutely everything down to a level where if you’re a software developer, it’s manna from heaven.”
Varje enskild transaktion, tangenttryckning, knapptryckning och API-funktion för varje Alexa-aktiverad enhet registrerades. Det inkluderade också varje ord som hans Echo-enheter hörde och varje film, tv-program, Kindle-bok, köp och föremål han hade sökt efter.
Morrell fann också att denna information inkluderade alla hans foton som automatiskt lagrades i Amazons fototjänst. Eftersom han satte in bankcheckar på nätet genom att ta bilder, kunde de också ha setts. Dessutom var hans Google-kontakter öppna eftersom han har Alexa på sin Android-telefon. Detta innebar också att hans telefonsamtal och sms-data var tillgängliga. Slutligen var hans e-post också sårbar eftersom han använde ett Amazon-e-postkonto. Angriparen kunde ha sett allt detta.
Naiv
Utifrån mitt eget perspektiv så finner jag det mer än en smula förvånande att en säkerhetskunnig användare, av Richard Morrells, kaliber överhuvudtaget installerar ett system med smarta eneter – speciellt från ett företag där det inte råder minsta tvekan om att en bärande del av det företagets hela affärsidé är att samla in data om sina användare.
När det gäller Amazons surfplattor för ban så har Amazon betalat 30 miljoner dollar i en uppgörelse med den amerikanska tillsynsmyndigheten FTC. Federal Trade Commission, FTC, skrev i sin inlaga att:
”Alexas standardinställningar sparar fortfarande barns (och vuxnas) röstinspelningar och transkriptioner för alltid, även när ett barn inte längre använder sin Alexa-profil och den har varit inaktiv i flera år.” Som ett resultat av detta har Amazon behållit personlig information om tusentals barn som inte ens använder sina Alexa-konton, i strid med Children’s Online Privacy Protection Rule (COPPA).
Ett problem med flera av Amazons enheter, alla surfplattorna som ingår i Fire-serien, bygger på en gammal version av Android (Android 9). Fire OS 7 som används använder Android 9 – den nuvarande versionen av Android är Android 13.
Facit
Med facit i hand, och det är alltid mycket enkelt att vara efterklok, så skulle jag kraftigt avråda från att installera och använda några av Googles eller Amazons enheter – om du är mån om din integritet. Du kan inte kombinera de här bolagens vilja att samla in data om dig med en privat sfär eller en sfär där du inte riskeras att avlyssnas.
0 kommentarer