هكرها ميتوانند الكسا و دستيار صوتي هوشمند گوگل را به ابزارهايي براي استراق سمع از متخصصان تبديل كنند يا از طريق نفوذ به آنها، بدون اينكه متخصص متوجه شود، اطلاعات مهم و شخصي او را از خودش دريافت كنند.
اين موضوع، مسئلهاي تازه نيست. آوريل ۲۰۱۸ مطالعههاي موسسهي تحقيقات امنيت شبكهي چكماركس حفرههاي امنيتي مشابهي را روي الكسا شناسايي كرد. اين موسسه ماه مه همان سال حفرهاي مشابه روي دستيار صوتي گوگل و چند ماه بعد موردي تكراري روي الكسا شناسايي كرد. هرچند آمازون و گوگل ظاهرا اين حفرهها را برطرف كردند اما هربار، روشهايي جديدي براي عبور از لايههاي امنيتي آنها كشف شد.
آخرين مورد از اين روشهاي جديد، توسط لوييس فريش و فابين برونلين، دو محقق موسسهي تحقيقات امنيت شبكهي SRlabs كشف شده است. نتايج تحقيقات اين دو محقق كه در اختيار خبرگزاري ZDent قرار گرفته، نشان ميدهد بكاندهايي كه گوگل و آمازون براي شخصيسازي دستيار صوتي گوگل و الكسا در اختيار توسعهدهندگان قرار ميدهد، مسير اصلي براي انجام فيشينگ يا استراق سمع است.
اين بكاندها دسترسي توسعهدهندگان به توابع موردنيازشان براي شخصيسازي نحوهي پاسخ دستيار صوتي به فرامين را فراهم ميكنند. محققان موسسهي SRIabs كشف كردهاند كه با درج كاركتر «�. » (U+D801, dot, space) در بخشهاي مختلفي از بكاند يك اپليكيشن عادي الكسا يا دستيار صوتي گوگل ميتوان در زمان فعال بودن اين دستيار صوتي، آن را وادار كرد مدت زمان زيادي، واكنشي نشان ندهد.
روش كار هكرها به اين صورت است كه ابتدا كاري ميكنند متخصص فكر كند يكي از اپليكيشنها اشكالي دارد، بعد از آن «�. » را وارد بكاند كنند و باعث شوند دستيار صوتي درحالي كه كار ميكند، پاسخي به فرمانها ندهد و بعد از چند دقيقه يك پيغام فيشينگ براي متخصص ارسال كنند. در اين شرايط متخصص تصور نميكند كه پيغام فيشينگ ارتباطي با اپليكيشن قبلي داشته باشد.
تيم تحقيقاتي موسسهي STLabs اعلام كرده، حدود يك سال پيش اين حفرههاي امنيتي را به شركتهاي سازندهي اين دستيارها گزارش داده اما آنها هنوز موفق نشدهاند اشكال را برطرف كنند.
آمازون به درخواست ZDnet براي اظهار انديشه متخصصين در اينباره پاسخي نداده است.
يك سخنگوي گوگل دربارهي اين مسئله اعلام كرد:
تمام فعاليتهايي كه در گوگل انجام ميشوند، بايد از سياستهاي توسعهدهندگان ما پيروي كنند و ما تضمين ميكنيم مقابل هر فعاليتي كه اين سياستها را نقض كنند خواهيم ايستاد. ما گزارشهاي دريافتي در اينباره را مطالعه و موارد ناقض قوانين را حذف كرديم. گوگل مكانيزمهايي براي جلوگيري از تكرار اين اتفاقها در آينده ايجاد كرده است.
گوگل همچنين اعلام كرده، دستيار صوتي گوگل هرگز از متخصصان خود رمز عبوري درخواست نخواهد كرد و بخش امنيتي اين شركت در حال مطالعه اپليكيشنهاي توليدشده توسط شركتهاي ديگر است.
هم انديشي ها