"أليكسا ، هل تتجسس علي؟" - aaaa ..... ممم ..... همممم ..... ربما !!!
طور باحثون أمنيون "مهارة" خبيثة جديدة لمساعد اليكسا الصوتي الشهير في الأمازون والتي يمكنها تحويل جهاز الأمازون إلى جهاز تجسس كامل.
أمازون إيكو فهو مكبر صوت منزلي ذكي يتم الاستماع إليه بالصوت دائمًا ويسمح لك بإنجاز المهام باستخدام صوتك ، مثل تشغيل الموسيقى ، وتعيين الإنذارات ، والإجابة على الأسئلة.
ومع ذلك ، لا يظل الجهاز نشطًا طوال الوقت ؛ بدلا من ذلك ، ينام حتى يقول المستخدم ، "اليكسا" ، وبشكل افتراضي ، فإنه ينهي جلسة بعد بعض المدة.
كما يسمح أمازون للمطورين ببناء تطبيقات "مهارات" مخصصة لأليكسا ، التي هي العقل المدبر وراء ملايين الأجهزة الذكية التي تعمل بتفعيل الصوت ، بما في ذلك Amazon Echo Show و Echo Dot و Amazon Tap.
ومع ذلك ، قام باحثون أمنيون في شركة الأمن السيبراني Checkmarx بإنشاء "مهارة" تعتمد على الصوت من ناحية المفهوم لـ Alexa ، الأمر الذي يدفع الجهاز لتسجيل الصوت المحيطي إلى أجل غير مسمى للتنصت سراً على محادثات المستخدمين ، ثم يرسل أيضًا النصوص الكاملة إلى طرف ثالث. موقع الكتروني.
متخفية كآلة حاسبة بسيطة لحل مشاكل الرياضيات ، ومهارة خبيثة ، إذا تم تثبيتها ، يتم تفعيلها على الفور في الخلفية بعد أن يقول المستخدم "أليكسا ، آلة حاسبة مفتوحة".
وقال الباحثون في تقريره "مهارة الآلة الحاسبة تمت تهيئتها ، وتتلقى وظيفة API \ Lambda المرتبطة بالمهارة طلب إطلاق كمدخل ."في عرض فيديو ، يوضح الباحثون أنه عندما يفتح المستخدم جلسة مع تطبيق الآلة الحاسبة (في الخلفية) ، فإنه ينشئ أيضًا جلسة ثانية بدون الإشارة شفهيًا إلى أن الميكروفون لا يزال نشطًا.
حسب التصميم ، يجب إما إنهاء Alexa جلسة أو اطلب من المستخدم أمر آخر للحفاظ على جلسة العمل مفتوحة. ومع ذلك ، قد يسمح الاختراق للمهاجمين بالاحتفاظ بالجلسة الثانية نشطة للتجسس على المستخدمين مع إنهاء أول تفاعل عند تفاعل المستخدم.
لحسن الحظ ، لا يزال بإمكانك تحديد موضع التجسس الأحمر إذا لاحظت أن الضوء الأزرق على جهاز Echo الخاص بك تم تنشيطه لفترة أطول ، خاصةً عندما لا يكون لديك دردشة خفية معه.
أبلغت Checkmarx هذه المسألة إلى Amazon ، وقد عالجت الشركة المشكلة بالفعل من خلال الفحص المنتظم للمهارات الضارة التي "تحث على الصمت أو تستمع لأطوال زمنية غير معتادة" وتطردها من متجرها الرسمي.
انها ليست أول اختراق اليكسا التي أظهرها الباحثون. في العام الماضي ، أظهرت مجموعة منفصلة من الباحثين في MWR InfoSecurity كيف يمكن للقراصنة تحويل بعض نماذج Amazon Echo إلى جهاز الاستماع السري .