Alexa, apakah Anda memata-matai saya?

Alexa, apakah Anda memata-matai saya?

Pada bulan Mei, perangkat Amazon Echo merekam percakapan pribadi secara sewenang-wenang dari keluarga Portland dan mengirimkannya ke orang secara acak di daftar kontak mereka, menyalakan kembali kekhawatiran kelemahan keamanan speaker pintar .



Dan agar adil, speaker pintar seperti Echo dan Google Home sering mengalami insiden mimpi buruk untuk membenarkan kecurigaan dan ketidakpercayaan pada keandalannya. Tetapi saat memasang speaker pintar di rumah Anda memang disertai dengan pengorbanan keamanan, kami sering salah paham, membesar-besarkan hal yang kurang penting sambil mengabaikan risiko yang lebih serius.

Inilah yang perlu Anda ketahui tentang implikasi keamanan dan privasi dari speaker pintar, baik mitos maupun kenyataan.



1) Speaker pintar selalu mendengarkan

Salah satu hal pertama yang Anda dengar tentang smart speaker seperti echo adalah bahwa mereka 'selalu mendengarkan' percakapan Anda — yang secara teknis benar. Tapi kita sering salah mengira 'selalu mendengarkan' dengan 'selalu merekam'.

“Gema tidak merekam semua yang Anda katakan di hadapannya,” kata Lane Thames, peneliti keamanan senior di Tripwire. “Perekaman tidak dimulai sampai Anda 'membangunkannya' dengan mengucapkan kata bangunnya, seperti 'Alexa.'”

Namun, kecuali jika dibisukan, speaker Anda menyimpan rekaman suara selama beberapa detik. “Rekaman suara lokal terbatas ini hanya untuk tujuan perangkat mendeteksi kata bangunnya,” kata Thames.

Setelah Anda memicu speaker pintar, ia mulai merekam dan mengirim suara Anda ke servernya, tempat pemrosesan sebenarnya terjadi.



“Sebagian besar pemrosesan (kecerdasan buatan dan pemrosesan bahasa alami ) dilakukan di cloud dan rekaman suara dibuat hanya saat perangkat dalam mode aktivasi, 'kata Thames. Setiap perangkat memiliki indikator untuk menunjukkan dengan jelas saat merekam dan mengirim data ke cloud. Untuk Echo, itu adalah cincin lampu di bagian atas perangkat. Untuk Google Home, itu adalah lampu berwarna yang berputar.

“Rekaman ini disimpan sehingga perangkat Echo Anda, bersama dengan Alexa yang digabungkan dengan akun Alexa Anda, dapat belajar dan menjadi 'lebih pintar' dari waktu ke waktu,” kata Thames. “Ini dilakukan melalui AI dan algoritma pembelajaran berkelanjutan berdasarkan aktivitas dan kontrol suara yang Anda simpan. '



Itu tidak berarti bahwa perangkat tidak membuat kesalahan. Sebagian besar menyeramkan Amazon Alexa cerita yang Anda dengar adalah hasil dari pembicara pintar yang menyadari kata yang salah dan salah menafsirkan sedikit percakapan untuk perintah. Dan dalam beberapa kasus, kekurangan dapat menyebabkan perangkat mulai merekam ketika tidak diperintahkan untuk melakukannya, seperti yang ditemukan oleh salah satu blogger teknologi dengan Google Home Mini tahun lalu.

Tapi ini bukan fungsi perangkat yang dimaksudkan. Perusahaan yang mengembangkan smart speaker terus memperbaiki bug dan memperbaiki kekurangan untuk mencegah perangkat mereka merekam suara penggunanya secara tidak sengaja. Sayangnya bagi mereka, setiap kali perangkat mereka melakukan sesuatu yang aneh, perangkat tersebut cenderung cepat masuk ke dalam berita.

'Fitur perekaman dibesar-besarkan karena kami hanya mendengar tentang masalah yang terisolasi dan kasus per kasus dan menggeneralisasikannya ke masalah sistemik,' kata Anubhav Arora, kepala arsitek di Fidelis Cybersecurity.

Menurut Arora, sebagian besar perangkat memiliki pengaturan dan fitur yang dapat membantu pengguna meminimalkan kemungkinan terbangun dan merekam tanpa disengaja. Misalnya, Echo memungkinkan pengguna untuk mengubah kata bangun untuk menghindari kebingungan jika seseorang di rumah Anda bernama Alexa. Beberapa perangkat, seperti Google Home, memungkinkan pengguna untuk melatih perangkat mereka agar terbiasa dengan suaranya untuk mencegah orang lain secara tidak sengaja (atau sengaja) memicunya.



“Menggunakan disiplin sederhana untuk mengurangi risiko rekaman yang tidak disengaja (mengubah kata bangun, menggunakan pelatihan suara, mengingat untuk mematikan jika benar-benar diperlukan) membuat speaker menjadi ekstensi yang aman dari layanan digital, hanya berbasis suara,” kata Arora.

Echo Dot di meja samping tempat tidur

2) Perusahaan teknologi menyimpan rekaman suara Anda

Kekhawatiran lain seputar speaker pintar adalah kenyataan bahwa Anda mengizinkan produsennya untuk menyimpan rekaman suara Anda. Sekali lagi, ini adalah masalah privasi, tetapi tidak lebih besar dari apa yang sudah Anda tangani secara online.

“Interaksi suara dengan speaker pintar merupakan perpanjangan dari aktivitas web yang dilakukan seseorang di browser,” kata Arora. “Misalnya, kueri dapat dilakukan di browser di situs Google atau melalui speaker cerdasnya.”

Arora juga mengatakan bahwa dalam kasus perusahaan seperti Google, ada kemungkinan Anda telah mempercayakan email, foto, dan dokumen online Anda kepada mereka, yang bisa menjadi risiko privasi dan keamanan yang jauh lebih besar daripada menyimpan perintah suara Anda karena “ email dapat berisi dokumen, kontrak, dan interaksi lain yang tidak dapat ditangkap oleh interaksi suara. '

BACA SELENGKAPNYA:

Namun, ini tidak berarti bahwa Anda harus mengabaikan implikasi privasi dari mengizinkan Google atau Amazon untuk menyimpan rekaman suara Anda. “Baik itu email yang disimpan atau percakapan Anda dengan pembicara cerdas, keduanya berisi informasi yang terkait dengan Anda sebagai individu,” kata Gary Davis, kepala penginjil keamanan konsumen di McAfee.

Meskipun sebagian besar pengguna email memahami bahwa penyedia mereka menyimpan pesan mereka, banyak pengguna smart speaker mungkin tidak sepenuhnya memahami bahwa cuplikan suara disimpan saat mereka mengirimkan perintah. Sama pentingnya, semua produsen speaker pintar memungkinkan Anda mengakses atau menghapus rekaman suara Anda dari server mereka. Davis merekomendasikan agar Anda secara rutin meninjau permintaan yang ditindaklanjuti oleh smart speaker untuk memahami cara penggunaannya yang mungkin tidak Anda sadari.

'Kepercayaan adalah kunci di sini serta toleransi risiko,' kata Thames, peneliti keamanan dari Tripwire. “Pengguna yang ingin menggunakan teknologi di dunia saat ini harus menukar risiko yang dihadapi saat menggunakan teknologi versus manfaat yang diperoleh.”

Mengurangi risiko sebagian akan bergantung pada penggunaan perangkat dari vendor yang mengikuti praktik keamanan yang baik dan telah mendapatkan kepercayaan dari pengguna.

“Tidak mungkin menerapkan sistem dengan keamanan yang sempurna. Vendor yang baik akan menanggapi masalah keamanan dengan cepat dan transparan, ”kata Thames, seraya menambahkan bahwa Google dan Amazon telah melakukan pekerjaan yang hebat dalam membuat sistem mereka aman dari serangan siber.

Namun, apakah perusahaan yang sama menggunakan data suara Anda untuk tujuan lain atau membiarkan agen mata-mata mengaksesnya dalam program pengawasan mereka adalah pertanyaan lain.

google home amazon echo

3) Speaker pintar menimbulkan ancaman unik

Speaker pintar memiliki serangkaian ancaman unik yang harus Anda waspadai. Seperti perangkat yang terhubung ke internet, jika peretas berhasil menyusupi speaker pintar Anda, mereka akan dapat memanfaatkannya untuk tujuan jahat. Keterampilan pihak ketiga yang dapat dibuat oleh pengembang untuk pembicara cerdas menjadi perhatian khusus.

“Dari sinilah fungsionalitas asisten berasal,” kata Thames, “dan layanan backend dari penyedia dan pihak ketiga ini adalah tempat munculnya serangan yang sebenarnya untuk perangkat ini.” Thames menambahkan bahwa sementara vendor seperti Amazon dan Google bekerja keras untuk memastikan bahwa aplikasi dan keterampilan pihak ketiga diperiksa untuk keamanan, tidak ada sistem yang sempurna dan aplikasi yang buruk dapat masuk.

Pakar lain sependapat. “Aktor jahat secara aktif mencari cara untuk mengeksploitasi speaker pintar,” kata Davis dari McAfee, menyebutkan “ suara jongkok 'Serangan sebagai contoh. Dalam jongkok suara, peretas mengembangkan keterampilan pembicara cerdas yang dipanggil oleh perintah yang terdengar seperti yang digunakan oleh aplikasi yang sah. Saat pengguna menyuarakan perintah, keterampilan berbahaya diluncurkan, bukan yang asli. Setelah itu penyerang bisa melakukan aktivitas lain seperti menguping atau phishing.

BACA SELENGKAPNYA:

Dalam kasus lain, peneliti di Checkmarx mengembangkan keterampilan Alexa yang berbahaya yang akan terus merekam suara pengguna saat mereka tidak mencurigainya. Ini setara dengan mengembangkan aplikasi jahat dan malware untuk ponsel cerdas dan komputer.

Baik Amazon dan Google berusaha keras untuk menambal kerentanan yang ditemukan dan menghapus keterampilan jahat dari toko aplikasi mereka. “Ternyata, dalam jenis pasar ini, uang dihasilkan dengan membuat aplikasi dan keterampilan yang baik, dan sulit dan mahal untuk membuat keterampilan berbasis malware atau berbasis jahat menjadi populer,” kata Thames.

Ancaman lain yang harus Anda waspadai adalah pemicuan keterampilan yang tidak diinginkan. Lucu jika Komersial Burger King memaksa pembicara pintar Anda untuk mendeskripsikan burger Whopper, tetapi tidak terlalu banyak ketika peretas menggunakan metode yang sama untuk memaksa pembicara Anda melakukan tugas yang lebih penting. Misalnya, peretas dapat mengirimi Anda email phishing dan memikat Anda untuk mengeklik tautan ke situs web yang memutar file audio yang memerintahkan Alexa atau Google untuk melakukan pembelian atau membuka kunci pintu rumah Anda. Serangan itu sulit untuk ditarik, tetapi itu bisa terjadi. Dan dengan cukup hati-hati, para penyerang bisa ubah frekuensi audio sehingga Anda tidak mendengar perintah saat speaker mendengarnya.

Untuk melindungi diri Anda dari jenis serangan ini, hal terbaik yang dapat Anda lakukan adalah membatasi akses pengguna ke fungsi-fungsi penting seperti melakukan pembelian dengan mengatur kode PIN pada mereka atau mengikatnya ke suara tertentu untuk mencegah aktivasi keterampilan yang sewenang-wenang.

Jangan panik

Speaker pintar adalah teknologi yang relatif baru, dan kami masih mempelajari dampaknya di berbagai level. Mereka adalah alat di antara banyak, dan seperti kebanyakan teknologi, mereka datang dengan keuntungan dan pengorbanannya. Penting untuk memahami risiko keamanan — bagaimanapun juga, Anda memasang mikrofon yang terhubung ke internet di rumah Anda — tetapi tidak membesar-besarkannya.