یک سال پس از انتشار اولین گزارشها دربارهی حفرههای امنیتی گوگل و سرویس مشابه ساخت گوگل، آمازون و گوگل هنوز موفق به برطرف کردن این حفرهها نشدهاند.
هکرها میتوانند الکسا و دستیار صوتی هوشمند گوگل را به ابزارهایی برای استراق سمع از کاربران تبدیل کنند یا از طریق نفوذ به آنها، بدون اینکه کاربر متوجه شود، اطلاعات مهم و شخصی او را از خودش دریافت کنند.
این موضوع، مسئلهای تازه نیست. آوریل ۲۰۱۸ بررسیهای موسسهی تحقیقات امنیت شبکهی چکمارکس حفرههای امنیتی مشابهی را روی الکسا شناسایی کرد. این موسسه ماه مه همان سال حفرهای مشابه روی دستیار صوتی گوگل و چند ماه بعد موردی تکراری روی الکسا شناسایی کرد. هرچند آمازون و گوگل ظاهرا این حفرهها را برطرف کردند اما هربار، روشهایی جدیدی برای عبور از لایههای امنیتی آنها کشف شد...سیسیکام (طراحی وب سایت در اصفهان)
آخرین مورد از این روشهای جدید، توسط لوییس فریش و فابین برونلین، دو محقق موسسهی تحقیقات امنیت شبکهی SRlabs کشف شده است. نتایج تحقیقات این دو محقق که در اختیار خبرگزاری ZDent قرار گرفته، نشان میدهد بکاندهایی که گوگل و آمازون برای شخصیسازی دستیار صوتی گوگل و الکسا در اختیار توسعهدهندگان قرار میدهد، مسیر اصلی برای انجام فیشینگ یا استراق سمع است.
الکسا
این بکاندها دسترسی توسعهدهندگان به توابع موردنیازشان برای شخصیسازی نحوهی پاسخ دستیار صوتی به فرامین را فراهم میکنند. محققان موسسهی SRIabs کشف کردهاند که با درج کارکتر «�. » (U+D801, dot, space) در بخشهای مختلفی از بکاند یک اپلیکیشن عادی الکسا یا دستیار صوتی گوگل میتوان در زمان فعال بودن این دستیار صوتی، آن را وادار کرد مدت زمان زیادی، واکنشی نشان ندهد.
روش کار هکرها به این صورت است که ابتدا کاری میکنند کاربر فکر کند یکی از اپلیکیشنها مشکلی دارد، بعد از آن «�. » را وارد بکاند کنند و باعث شوند دستیار صوتی درحالی که کار میکند، پاسخی به فرمانها ندهد و بعد از چند دقیقه یک پیغام فیشینگ برای کاربر ارسال کنند. در این شرایط کاربر تصور نمیکند که پیغام فیشینگ ارتباطی با اپلیکیشن قبلی داشته باشد.
تیم تحقیقاتی موسسهی STLabs اعلام کرده، حدود یک سال پیش این حفرههای امنیتی را به شرکتهای سازندهی این دستیارها گزارش داده اما آنها هنوز موفق نشدهاند مشکل را برطرف کنند.
آمازون به درخواست ZDnet برای اظهار نظر در اینباره پاسخی نداده است...سیسیکام (طراحی وب سایت در اصفهان)
یک سخنگوی گوگل دربارهی این مسئله اعلام کرد:
تمام فعالیتهایی که در گوگل انجام میشوند، باید از سیاستهای توسعهدهندگان ما پیروی کنند و ما تضمین میکنیم مقابل هر فعالیتی که این سیاستها را نقض کنند خواهیم ایستاد. ما گزارشهای دریافتی در اینباره را بررسی و موارد ناقض قوانین را حذف کردیم. گوگل مکانیزمهایی برای جلوگیری از تکرار این اتفاقها در آینده ایجاد کرده است.
گوگل همچنین اعلام کرده، دستیار صوتی گوگل هرگز از کاربران خود رمز عبوری درخواست نخواهد کرد و بخش امنیتی این شرکت در حال بررسی اپلیکیشنهای تولیدشده توسط شرکتهای دیگر است...سیسیکام (طراحی وب سایت در اصفهان)
امنیت
- اینفوگرافیک: تمام آن چیزی که باید درباره پینکد و امنیت آن بدانید
- الکسا و دستیار صوتی گوگل ممکن است ابزار استراق سمع باشند
- استفاده از کلیدهای امنیتی یوبیکو برای ورود به رایانههای ویندوزی ممکن شد
- چگونه ویژگی فوقالعاده مفید و امنیتی Code AutoFill بهوجود آمد؟
- ۱۱ روش برای افزایش امنیت دادهها
- آشنایی با هاست رایگان، مزایا و معایبی که برای شما دارد
- دستکاری هکرهای روسی در فایرفاکس و گوگل کروم
محبوب ترین مطالب
16 روش حل خطای cURL error 28
1399/04/02 5پر بازدید ترین مطالب
شبکه های اجتماعی
1396/08/13 3130
16 روش حل خطای cURL error 28
1399/04/02 2423
نقشه سایت (sitemap) چیست؟
1396/08/13 2210
10 نکته اساسی برای انتخاب (Keywords) کلمه کلیدی
1396/08/13 2150
درباره این مطلب نظر دهید