เตือนผู้ใช้ Alexa และ Google Home เสี่ยงถูกแฮ็กเกอร์ดักฟังและหลอกเอา Password

Luise Frerichs และ Fabian Bräunlein สองนักวิจัยด้านความมั่นคงปลอดภัยจาก Security Research Labs (SRLabs) ออกมาเปิดเผยถึงวิธีใหม่ในการใช้ Amazon Alexa และ Google Home ดักฟังการสนทนาของผู้ใช้ รวมไปถึงโจมตีแบบ Phishing เพื่อขโมยรหัสผ่าน เลขบัญชีบัตรเครดิต หรือข้อมูลสำคัญอื่นๆ

ทีมนักวิจัยระบุว่า การดักฟังและโจมตีแบบ Phishing นี้สามารถกระทำได้ผ่านทาง Backend ที่ Amazon และ Google ให้บริการแก่นักพัฒนาแอปพลิคเชันของ Alexa และ Google Home โดย Backend เหล่านี้จะให้บริการการเข้าถึงฟังก์ชันที่นักพัฒนาสามารถใช้เพื่อปรับแต่งคำสั่งที่อุปกรณ์จะตอบสนอง รวมไปถึงวิธีการที่อุปกรณ์จะตอบกลับ ซึ่งทีมนักวิจัยพบว่า ถ้าใส่ชุดอักขระ “�. ” (U+D801, dot, space) ลงไปภายใน Backend ของ Alexa/Google Home App หลายๆ จุด จะทำให้สามารถสร้างช่วงเวลาเงียบๆ แต่แอปพลิเคชันยังคงทำงานอยู่ได้

ไอเดียของการโจมตีแบบ Phishing คือ บอกผู้ใช้ว่าแอปพลิเคชันทำงานผิดปกติ ใส่ชุดอักขระ “�. ” เพื่อสร้างช่วงเวลาเงียบๆ จากนั้นรอสักระยะแล้วสั่งให้ข้อความ Phishing ทำงาน เพื่อพลอกให้เหยื่อเชื่อว่าข้อความนั้นๆ เป็นข้อความใหม่ที่ Alexa/Google Home กล่าวออกมาโดยไม่มีความเกี่ยวข้องใดๆ กับแอปพลิเคชันก่อนหน้านี้ ยกตัวอย่างตามวิดีโอด้านล่าง แอปทำนายดวงชะตาเกิดทำงานผิดพลาด แต่ยังคงแอบทำงานต่อไปเงียบๆ จนผ่านไปสักระยะก็ได้ถามรหัสผ่านจากผู้ใช้ Alexa/Google Home เพื่อหลอกว่าจะทำการอัปเดตอุปกรณ์

นอกจากโจมตีแบบ Phishing แล้ว ยังสามารถใช้วิธีดังกล่าวในการดักฟังบทสนทนาของผู้ใช้ได้อีกด้วย เพียงแค่ว่า ชุดอักขระ “�. ” จะถูกใใช้หลังจากที่แอปพลิเคชันตอบสนองต่อคำสั่งของผู้ใช้แล้วแทน ส่งผลให้แอปพลิเคชันยังคงทำงานต่อไปอย่างเงียบๆ และบันทึกข้อความสนทนาของลง Log ก่อนที่จะส่งไปประมวลผลยัง Server ของแฮ็กเกอร์

SRLabs ค้นพบปัญหานี้ตั้งแต่หลายเดือนก่อนหน้านี้ และได้รายงานไปยัง Amazon และ Google แต่ทั้งสองบริษัทกลับไม่ได้ดำเนินการแก้ไขปัญหา จึงทำให้ทีมนักวิจัยตัดสินใจเปิดเผยวิธีการโจมตีเหล่านี้สู่สาธารณะ

รายละเอียดเชิงเทคนิค: https://srlabs.de/bites/smart-spies/

ที่มา: https://www.zdnet.com/article/alexa-and-google-home-devices-leveraged-to-phish-and-eavesdrop-on-users-again/