محققان امنیتی راه جدیدی برای بهرهبرداری از بلندگوی هوشمند Echo آمازون برای اجرای دستورات کشف کردهاند. آنها بلندگوی هوشمند Echo را وادار میکنند تا دستورات را به خودش بگوید.
محققان دانشگاه Royal Holloway لندن و دانشگاه Catania ایتالیا، در یک مقاله فنی یافتههای خود را توصیف کردهاند که از نحوه تفسیر فرمانهای صوتی توسط یک دستگاه اکو آمازون استفاده می کند، حتی زمانی که این دستورات توسط خود دستگاه پخش میشود.
حمله الکسا در مقابل الکسا
این حمله «الکسا در مقابل الکسا» یا به اختصار AvA نامگذاری شده است، باعث میشود که مهاجم کنترل بلندگوی اکو آمازون را بدست بگیرد و به آن دستور دهد تا دستورات مخرب را با صدای بلند به خودش بگوید.
با استفاده از این روش میتوان به یک دستگاه آسیبپذیر دستور داد تا از آمازون خریدهای غیر مجاز انجام دهد، یا دستگاههای IoT خانه یا محل کار را روشن و خاموش کند.
بهطور پیشفرض، دستگاههای آمازون اکو هر زمان که کلمه بیدار باش خود را میشنوند صدا را کم میکنند تا بتوانند دستورات کاربر نهایی را ضبط و پروسس کنند. ممکن است به محض حمله دستورات طولانیتر شنیده نشود و به آنها عمل نشود. با این حال، محققان دریافتند که با استفاده از آسیبپذیری به نام «آسیبپذیری با حجم کامل»، توانستند با موفقیت دستورات طولانی مانند « مایکروویو را در دمای ۲۰۰ درجه سانتیگراد تنظیم کن» را ارسال کنند.
خبر خوب این است که برای موفقیت آمیز بودن این حمله، بلندگوی هوشمند اکو باید از قبل آماده شده باشد – یا با دانلود و اجرای یک مهارت مخرب، یا از طریق قرار گرفتن مهاجم در نزدیکی بلندگوی هوشمند و جفت کردن آن با دستگاه مجهز به بلوتوث خودشان.
اگرچه شواهدی وجود ندارد که نشان دهد کسی از این آسیبپذیری در دستگاههای آمازون اکو با نیت مخرب سوء استفاده کرده است، اما واضح است که برای غول فناوری عاقلانه خواهد بود که اقدامات متقابلی را انجام دهد – مانند نادیده گرفتن هر دستوری که خود دستگاه با صدای بلند بیان کرده است.
