الكسا و دستيار صوتي گوگل ممكن است ابزار استراق سمع باشند

امنيت
سه‌شنبه ۳۰ مهر ۱۳۹۸ - ۱۷:۱۰
مطالعه 3 دقيقه
مرجع متخصصين ايران
سجاد بيات
مرجع متخصصين ايران
يك سال پس از انتشار اولين گزارش‌ها درباره‌ي حفره‌هاي امنيتي گوگل و سرويس مشابه ساخت گوگل، آمازون و گوگل هنوز موفق به برطرف كردن اين حفره‌ها نشده‌اند.
تبليغات

هكرها مي‌توانند الكسا و دستيار صوتي هوشمند گوگل را به ابزارهايي براي استراق سمع از متخصصان تبديل كنند يا از طريق نفوذ به آن‌ها، بدون اينكه متخصص متوجه شود، اطلاعات مهم و شخصي او را از خودش دريافت كنند.

اين موضوع، مسئله‌اي تازه نيست. آوريل ۲۰۱۸ مطالعه‌هاي موسسه‌ي تحقيقات امنيت شبكه‌ي چك‌ماركس حفره‌هاي امنيتي مشابهي را روي الكسا شناسايي كرد. اين موسسه ماه مه همان سال حفره‌اي مشابه روي دستيار صوتي گوگل و چند ماه بعد موردي تكراري روي الكسا شناسايي كرد. هرچند آمازون و گوگل ظاهرا اين حفره‌ها را برطرف كردند اما هربار، روش‌هايي جديدي براي عبور از لايه‌هاي امنيتي آن‌ها كشف شد.

آخرين مورد از اين روش‌هاي جديد، توسط لوييس فريش و فابين برونلين، دو محقق موسسه‌ي تحقيقات امنيت شبكه‌ي SRlabs كشف شده است. نتايج تحقيقات اين دو محقق كه در اختيار خبرگزاري ZDent قرار گرفته، نشان مي‌دهد بك‌اندهايي كه گوگل و آمازون براي شخصي‌سازي دستيار صوتي گوگل و الكسا در اختيار توسعه‌دهندگان قرار مي‌دهد، مسير اصلي براي انجام فيشينگ يا استراق سمع است.

مرجع متخصصين ايران الكسا

اين بك‌اندها دسترسي توسعه‌دهندگان به توابع موردنيازشان براي شخصي‌سازي نحوه‌ي پاسخ دستيار صوتي به فرامين را فراهم مي‌كنند. محققان موسسه‌ي SRIabs كشف كرده‌اند كه با درج كاركتر «�. » (U+D801, dot, space) در بخش‌هاي مختلفي از بك‌اند يك اپليكيشن عادي الكسا يا دستيار صوتي گوگل مي‌توان در زمان فعال بودن اين دستيار صوتي، آن را وادار كرد مدت زمان زيادي، واكنشي نشان ندهد.

مقاله‌هاي مرتبط:

روش كار هكرها به اين صورت است كه ابتدا كاري مي‌كنند متخصص فكر كند يكي از اپليكيشن‌ها اشكالي دارد، بعد از آن «�. » را وارد بك‌اند كنند و باعث شوند دستيار صوتي درحالي كه كار مي‌كند، پاسخي به فرمان‌ها ندهد و بعد از چند دقيقه يك پيغام فيشينگ براي متخصص ارسال كنند. در اين شرايط متخصص تصور نمي‌كند كه پيغام فيشينگ ارتباطي با اپليكيشن قبلي داشته باشد.

تيم تحقيقاتي موسسه‌ي STLabs اعلام كرده، حدود يك سال پيش اين حفره‌هاي امنيتي را به شركت‌هاي سازنده‌ي اين دستيارها گزارش داده اما آن‌ها هنوز موفق نشده‌اند اشكال را برطرف كنند.

آمازون به درخواست ZDnet براي اظهار انديشه متخصصين در اين‌باره پاسخي نداده است.

يك سخنگوي گوگل درباره‌ي اين مسئله اعلام كرد:

تمام فعاليت‌هايي كه در گوگل انجام مي‌شوند، بايد از سياست‌هاي توسعه‌دهندگان ما پيروي كنند و ما تضمين مي‌كنيم مقابل هر فعاليتي كه اين سياست‌ها را نقض كنند خواهيم ايستاد. ما گزارش‌هاي دريافتي در اين‌باره را مطالعه و موارد ناقض قوانين را حذف كرديم. گوگل مكانيزم‌هايي براي جلوگيري از تكرار اين اتفاق‌ها در آينده ايجاد كرده است.

گوگل همچنين اعلام كرده، دستيار صوتي گوگل هرگز از متخصصان خود رمز عبوري درخواست نخواهد كرد و بخش امنيتي اين شركت در حال مطالعه اپليكيشن‌هاي توليدشده توسط شركت‌هاي ديگر است.

مقاله رو دوست داشتي؟
انديشه متخصصينت چيه؟
جديد‌ترين مطالب روز

هم انديشي ها

تبليغات

با چشم باز خريد كنيد
اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران شما را براي انتخاب بهتر و خريد ارزان‌تر راهنمايي مي‌كند
ورود به بخش محصولات
موبايل
تبلت
لپ‌تاپ
تلويزيون
ساعت هوشمند
هدفون
هارد
كنسول بازي
كارت گرافيك
پردازنده
مانيتور
SSD
دوربين‌
پاوربانك
شارژر
اسپيكر