نرم افزار

آیا الکسا و دستیار صوتی گوگل ابزار شنود و جاسوسی است؟

فیلم سینمایی سرخ پوست

هکرها می‌توانند الکسا و دستیار صوتی هوشمند گوگل را به ابزارهایی برای استراق سمع از کاربران تبدیل کنند

این هکر ها از طریق نفوذ به این دستیاران صوتی، بدون اینکه کاربر متوجه شود، اطلاعات شخصی و مهم و او را از خودش دریافت میکنند.

بعد از گذشت یکسال از انتشار اولین گزارش‌ها درباره‌ی حفره‌های امنیتی گوگل و سرویس مشابه ساخت گوگل، آمازون و گوگل هنوز موفق به برطرف کردن این حفره‌ها نشده‌اند. 

این موضوع، مسئله‌ای جدیدی نیست. آوریل ۲۰۱۸ حفره‌های امنیتی مشابهی روی الکسا شناسایی شد. این موسسه ماه مه همان سال حفره‌ای مشابه روی دستیار صوتی گوگل و چند ماه بعد موردی تکراری روی الکسا شناسایی کرد. هرچند آمازون و گوگل ظاهرا این حفره‌ها را برطرف کردند اما هربار، روش‌هایی تازه ای برای عبور از لایه‌های امنیتی آن‌ها کشف شد.

آخرین مورد از این روش‌های جدید، توسط لوییس فریش و فابین برونلین، دو محقق موسسه‌ی تحقیقات امنیت شبکه‌ی SRlabs کشف شده است. نتایج تحقیقات این دو محقق که در اختیار خبرگزاری ZDent قرار گرفته، حاکی از آن است که بک‌اندهایی که گوگل و آمازون برای شخصی‌سازی دستیار صوتی گوگل و الکسا در اختیار توسعه‌دهندگان قرار می‌دهد، مسیر اصلی برای انجام فیشینگ یا استراق سمع است. این بک‌اندها دسترسی توسعه‌دهندگان به توابع موردنیازشان برای شخصی‌سازی نحوه‌ی پاسخ دستیار صوتی به فرامین را فراهم می‌کنند.

هکر ها چگونه این کار را انجام میدهند؟

محققان موسسه‌ی SRIabs دریافتند که با درج کارکتر «�. » (U+D801, dot, space) در بخش‌های مختلفی از بک‌اند یک اپلیکیشن عادی الکسا یا دستیار صوتی گوگل می‌توان در زمان فعال بودن این دستیار صوتی، آن را وادار کرد مدت زمان زیادی، واکنشی نشان ندهد.

روش کار هکرها به این صورت است که ابتدا کاری می‌کنند کاربر فکر کند یکی از اپلیکیشن‌ها مشکلی دارد، بعد از آن «�. » را وارد بک‌اند کنند و باعث شوند دستیار صوتی درحالی که کار می‌کند، پاسخی به فرمان‌ها ندهد و پس از چند دقیقه یک پیغام فیشینگ برای کاربر ارسال کنند. در این شرایط کاربر فکرش را هم نمی‌کند که پیغام فیشینگ ارتباطی با اپلیکیشن قبلی داشته باشد.

حدود یک سال پیش تیم تحقیقاتی موسسه‌ی STLabs اعلام کرده که این حفره‌های امنیتی را به شرکت‌های سازنده‌ی این دستیارها گزارش داده اما آن‌ها هنوز موفق نشده‌اند مشکل را برطرف کنند.

آمازون به درخواست ZDnet برای اظهار نظر در این‌باره پاسخی نداده است

نظر سخنگوی گوگل در این مورد

تمام فعالیت‌هایی که در گوگل انجام می‌شوند، باید از سیاست‌های توسعه‌دهندگان ما پیروی کنند و ما تضمین می‌کنیم مقابل هر فعالیتی که این سیاست‌ها را نقض کنند می ایستیم. ما گزارش‌های دریافتی در این‌باره را بررسی و موارد ناقض قوانین را حذف کردیم. گوگل راهکارهایی برای جلوگیری از تکرار این اتفاق‌ها در آینده ایجاد کرده است.

همچنین گوگل اعلام کرده، دستیار صوتی گوگل هرگز از کاربران خود رمز عبوری درخواست نخواهد کرد و بخش امنیتی این شرکت در حال بررسی اپلیکیشن‌های تولیدشده توسط شرکت‌های دیگر است.

منبع
زومیت
برچسب ها
نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
بستن
بستن