مهارتی که می‎تواند الکسا را وادار به استراق سمع برای هکرها کند

یک تیم از محققان امنیتی در Checkmarx یک “مهارت” ایجاد کرده‌اند که می تواند دستیار مجازی  آمازون الکسا را به یک دستگاه استراق سمع تبدیل کند. این قابلیت ویژگی ساخته شده در دستگاه را به منظور ضبط مکالمات به طور نامحدود و ارسال متن به هر وب سایت شخص ثالث و یا شرکت آمازون  مورد سوء استفاده قرار ‌می‌دهد.

الکسا برای تشخیص صدا در همه‌ی زمان‌ها برای گرفتن هر فرمان صوتی توسط کاربر، طراحی شده است. در این دستگاه داده‌ها با سرورهای آمازون برای پردازش دستورات تنها پس از شنیدن کلمه ای که معمولا “الکسا” است، مبادله ‌می‌شود.

هنگامی که الکسا به فرمان پاسخ می‌دهد، باید یا برای دستور فرمان بعدی سوال بپرسد یا ادامه کار خود را پایان دهد. با این حال، محققان توانستند یک راه حل برای دور زدن این سیستم پیدا کنند.

آنها یک مهارت ماشین حسابی بی ضرر برای حل مشکلات ریاضی ایجاد کردند که  یک وظیفه‌ی مخرب در آن پنهان بود. پس از شروع یک فرمان برای این برنامه، یک فرمان دوم ایجاد می‌شود که به گوش دادن و ضبط صداها بدون آنکه به کاربر اطلاع  بدهد که میکروفون هنوز فعال است، ادامه می‌دهد.

این فرمان می‌تواند این کار را برای یک دوره نامحدود انجام دهد، و همین مهارت نیز می تواند دستگاه را به منظور رونویسی از هر گونه گفت و گو که آن را شنود می‌کند، هدایت کند. این داده‌ها می‌توانند در دسترس سازندگان این مهارت قرار بگیرند و یا به هر وب سایت شخص ثالث دیگر ارسال گردد.

کاملا ترسناک است، مگر نه؟ اما یک نکته وجود دارد – نور آبی در دستگاه Echo تا زمانی که الکسا شروع به گوش می‌کند، روشن باقی می‌ماند. قربانیان ناخودآگاه ممکن است متوجه آن نباشند، اما ممکن است سوء ظن‌ها را افزایش دهد.با این حال، Checkmarx قبلا  گزارش کرده است که آمازون در حال رفع این آسیب پذیری ها می‌باشد و در حال حاضر در تلاش برای رفع این مشکل بخصوص است. این شرکت بروز رسانی را برای الکسا عرضه کرده است که می تواند چنین فرمان‌هایی را شناسایی کند و اقدامات لازم را برای جلوگیری از آن انجام می دهد.