المحتوى
- كلمات مرور الخداع الصوتي على Amazon Echo ومكبرات صوت Google Home
- التنصت على المستخدمين من خلال مكبرات الصوت Amazon Echo و Google Home
لقد عرفنا أن Google و Amazon يستمحان إلى مستخدميهما من خلال مكبرات الصوت الذكية المنشطة بالصوت والمنزل. ومع ذلك ، فقد أثبتت مجموعة من الباحثين في مجال الأمن الآن كيف يمكن للتطبيقات الخارجية التنصت بسهولة على المستخدمين والمعلومات الحساسة للخداع الصوتي مثل كلمات المرور.
اكتشف الباحثون في شركة SRLabs في ألمانيا سيناريوهين للقرصنة - التنصت والتصيد - لأجهزة Amazon Alexa و Google Home / Nest. أنشأوا ثمانية تطبيقات صوتية (مهارات لـ Alexa و Actions for Google Home) لإظهار الاختراقات التي تحول هذه السماعات الذكية إلى جواسيس أذكياء. تمر التطبيقات الصوتية الخبيثة التي أنشأتها SRLabs بسهولة عبر عمليات الفرز الفردية من Amazon و Google.
تم استخدام طرق مختلفة للتنصت على مستخدمي Amazon Alexa و Google Home وللحيل إلى معلومات منهم. تمكن الباحثون من تغيير وظائف المهارات والإجراءات التي قاموا بإنشائها للاختراق بعد أن وافقت أمازون و Google على التطبيقات. لم تتم المطالبة بجولة ثانية من المراجعات بعد إجراء التغييرات المذكورة.
كلمات مرور الخداع الصوتي على Amazon Echo ومكبرات صوت Google Home
في الفيديو أدناه ، ترى كيف يطلب المستخدمون من Alexa بدء مهارة تسمى My Lucky Horoscope. هذه مهارة أليكسا خبيثة تم إنشاؤها وتعديلها بواسطة SRLabs لتصيد كلمات المرور.
لا يُقبل التطبيق على الترحيب ، وبدلاً من ذلك ، يرد على ذلك قائلاً: "هذه المهارة غير متوفرة حاليًا في بلدك". في هذه المرحلة ، يفترض المستخدم أن التطبيق توقف عن الاستماع ، لكنه لم يفعل. بدلاً من ذلك ، تم اختراق هذه المهارة ليقول سلسلة الأحرف التي لا يمكن لـ Alexa نطقها ، وبالتالي يبقى المتحدث صامتًا عندما يكون متوقفًا مؤقتًا ويستمع بالفعل.
ثم تلعب المهارة مقولة تصيد ، "يتوفر تحديث جديد لجهاز Alexa الخاص بك. يرجى ذكر البدء متبوعًا بكلمة المرور الخاصة بك. "بينما لا تطلب أمازون أبدًا كلمات المرور بهذه الطريقة ، يمكن للمستخدمين غير المدركين أن يتنبهوا إليها.
تم استخدام طريقة مماثلة لكلمات مرور الخداع الصوتي على مكبر صوت Google Home Mini.
التنصت على المستخدمين من خلال مكبرات الصوت Amazon Echo و Google Home
من أجل التنصت ، استخدم الباحثون نفس التطبيق الأبراج للسماعة الذكية من Amazon. يحيل التطبيق المستخدم للاعتقاد بأنه قد تم إيقافه أثناء الاستماع بصمت في الخلفية.
بالنسبة إلى صفحة Google الرئيسية ، كان الاختراق أسهل ولم تكن هناك حاجة لتحديد كلمات تشغيل من أجل التنصت. يلاحظ الباحثون أنه في هذه الحالة ، يتم وضع المستخدم في حلقة "حيث يرسل الجهاز باستمرار المدخلات الصوتية إلى خادم المتسلل أثناء إخراج الصمت القصير بينهما."
قامت SRLabs بإنزال جميع التطبيقات التي تم عرضها في مقاطع الفيديو المعروضة أعلاه. كما أبلغ الباحثون نتائجهم إلى أمازون وجوجل.
حسب آرس تكنيكا، ردت كلتا الشركتين بالقول إنهم يغيرون عمليات الموافقة الخاصة بهم ويتبنون آليات إضافية لتجنب مثل هذه الاختراقات في المستقبل.
ومع ذلك ، لا يوجد أي تحديث من أمازون أو Google ليقول لهما متى سيتم حل هذه المشكلات. لا توجد أيضًا طريقة لمعرفة ما إذا كانت مهارة أو فعل أساء استخدام هذه الثغرات في الماضي.
