EN
بررسی‌های محققان نشان می‌دهد

دستیار صوتی الکسا مهارت جاسوسی از کاربر را دارد

این روزها اینترنت اشیا «IoT» یا همان internet of things بیشتر از همیشه به زندگی روزانه مردم نزدیک شده است. در کنار تمام مزایا و معایب دستگاه‌های اینترنت اشیا، آسیب‌پذیری‌ها و ضعف‌های امنیتی موجود باعث شده است که سودجویان راحت‌تر از گذشته وارد حریم‌خصوصی کاربران این دستگاه شوند و اقدام به جاسوسی، سرقت اطلاعات و… کنند. در همین راستا محققان امنیتی اعلام کرده‌اند که یک مهارت مخرب و آسیب‌پذیری در دستیار صوتی آمازون (الکسا) شناسایی کرده‌اند.
  1. سرتفا»
  2. آخرین خبرها»
  3. آسیب‌پذیری‌ها
۱۶ اردیبهشت ۱۳۹۷
شنود با الکساtrofire.com

محققان امنیتی یک مهارت جدید مخرب را برای دستیار صوتی محبوب شرکت آمازون - الکسا - توسعه داده‌اند که می‌تواند آمازون اکو را به یک دستگاه جاسوسی کامل تبدیل کند. این کار برای شناسایی آسیب‌پذیری‌های موجود در دستیار صوتی الکسا انجام شده است.

 

الکسا چیست؟

الکسا نام اصلی دستیار صوتی شرکت آمازون است که مدل‌های مختلفی دارد. این دستیار هوشمند همیشه گوش به زنگ بوده و با صدا فعال می‌شود (مشابه سیری در اپل یا کورتانا در ویندوز) و به کاربران این امکان را می‌دهد تا با استفاده از صدای خود کارهایی از جمله پخش موسیقی، تنظیم زنگ ساعت و پاسخ دادن به سوالات را انجام دهند. با این حال این دستگاه همیشه فعال نیست و تا زمانی که کاربر بگوید «الکسا» به خواب می‌رود و به‌طور پیش فرض، پس از مدت کوتاهی پس از فراخواندن توسط کاربر که یک نشست «session» نامیده می‌شود، دوباره به خواب می‌رود.

شرکت آمازون به توسعه‌دهندگان الکسا اجازه داده است تا برنامه‌هایی برای مهارت‌های سفارشی (customized Skill) الکسا ایجاد کنند که مغز و کنترل کننده‌ی میلیون‌ها دستگاه هوشمند صدا محور از جمله آمازون Echo Show، Echo Dot و آمازون Tap است.

 

مدل تهدید مهارت مخرب

در همین راستا محققان امنیتی در شرکت امنیت سایبری چک‌مارکس «Checkmarx» برای اثبات مدل تهدید براساس آسیب‌پذیری‌های موجود در دستیار صوتی هوشمند آمازون اکو «Echo»، یک مهارت جدید برای الکسا ایجاد کرده‌اند که با صدا فعال شده و دستگاه را وادار می‌کند که به‌طور نامحدود صدای اطراف خود را ضبط کند. در واقع این مهارت جدید به‌صورت مخفیانه به گفتگوهای کاربران گوش فرا داده و سپس رونوشت کامل مکالمه را به یک وب‌سایت شخص ثالث ارسال می‌کند.

این مهارت یک ماشین حساب تغییر شکل داده شده برای محاسبات ریاضی است و اگر برنامه آن نصب شود، پس از آن که کاربر بگوید «الکسا، ماشین حساب را باز کن» فعال شده و در پس زمینه به کارش ادامه می‌دهد.

محققان شرکت چک‌مارکس در یک ویدیو نشان داده‌اند که هنگامی که کاربر یک نشست جدید با برنامه ماشین حساب (در پس زمینه) را آغاز می‌کند، برنامه به‌طور عمد یک نشست دوم را نیز ایجاد می‌کند و به این ترتیب به فعالیت خود - گوش فرا دادن به صداها - ادامه می‌دهد.

 

کارکرد الکسا

در طراحی اولیه، الکسا یا باید یک نشست را پایان دهد یا برای باز نگه داشتن آن از کاربر سوال کند که آیا درخواست دیگری دارد یا خیر! با این حال، براساس گزارش محققان شرکت چک‌مارکس درباره مهارت جدید بررسی شده، مهاجمان این امکان را خواهند داشت که نشست دوم را بعد از اتمام نشست اول باز نگه دارند.
خوشبختانه در حال حاضر می‌توانید مچ جاسوس را بگیرید. اگر حواستان به نور آبی روی دستگاه اکوی باشد، به‌ویژه زمانی که بیش از اندازه فعال است یا مخصوصا زمانی که کارتان با دستگاه تمام شده است.

محققان چک‌مارکس این مساله را به آمازون گزارش داده و این شرکت به طور منظم مهارت‌های مخربی که مشکل «فعال شدن در سکوت» و «فعال بودن برای مدت زمان غیرمعمول» را دارند را اسکن می‌کند و آن‌ها را از فروشگاه خود حذف می‌کند.

این اولین باری نیست که الکسا توسط پژوهشگران مورد بررسی قرار گرفته و هک می‌شود. سال گذشته، یک گروه مستقل از محققان در شرکت MWR InfoSecurity نشان دادند که چگونه هکرها می‌توانند برخی از مدل‌های آمازون اکو را به دستگاه شنود تبدیل کنند.

 

 

توضیحات بیشتر:

- Amazon Echo: Alexa Leveraged as a Silent Eavesdropper
- Alexa, are you listening

 

 

الکسا|اینترنت اشیاء|بدافزار

به اشتراک بگذارید

بازگشت به بالا

برنامه‌های مخرب در گوگل پلی‌
مشکل تکنیکی در توییتر