นักวิจัยเปลี่ยน Amazon Echo ให้เป็นอุปกรณ์ดักฟัง

นักวิจัยด้านความมั่นคงปลอดภัยจาก Checkmarx ได้ค้นพบวิธีการใช้ความสามารถของ Alexa ที่ออกแบบมาให้นักพัฒนา เพื่อเปลี่ยนอุปกรณ์ Echo ให้สามารถสอดแนมผู้ใช้ได้ โดยอาศัยฟีเจอร์ SDK เช่น skill, intents, slots, reprompts หรือ พารามิเตอร์ End session

credit : ComputerWeekly.com

วิธีการคือทีม Checkmarx ได้สร้างแอปพลิเคชันเครื่องคิดเลขที่สามารถรอฟังได้ต่อเนื่องแม้จะตอบคำถามของผู้ใช้งานไปแล้ว โดยตั้งค่าพารามิเตอร์ ‘shouldEndSession’ เป็น false คือมันจะสามารถรอคำถามต่อไปได้โดยไม่ต้องให้ผู้ใช้พูดคำว่า “Alexa เปิดแอปเครื่องคิดเลขหน่อย” นอกจากนี้แอปที่นักวิจัยสร้างขึ้นยังสามารถเปิดและบันทึกเสียงรอบข้างซึ่งสามารถแปลงเสียงไปเป็นอักษรได้ซึ่งนักพัฒนาแอปจะสามารถเห็นได้ในล็อกของแอปพลิเคชัน

อีกหนึ่งช่องทางที่นักวิจัยทำคือแก้พารามิเตอร์ ‘Reprompt’ ที่แอปพลิเคชันมักใช้เพื่อกำหนดเวลาให้ผู้ใช้ป้อน Input เข้ามาซ้ำๆ และเมื่อรวมกับ ‘shouldEndSession’ มันสามารถขยายเวลาให้ Alexa รอ input อย่างงียบๆ ได้จาก 8 วินาทีเป็น 16 วินาที อย่างไรก็ตามนักวิจัยกล่าวว่า Amazon ได้แก้ไขการใช้งาน Reprompt และระยะเวลาของ Session อย่างไม่เหมาะสมแล้ว สามารถติดตามรายงานของนักวิจัยได้ที่นี่ หรือ ชมวีดีโอสาธิตวิธีการได้ตามด้านล่าง

ที่มา : https://www.bleepingcomputer.com/news/security/researchers-turn-amazon-echo-into-an-eavesdropping-device/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Infor WMS พร้อมพาธุรกิจรับมือความท้าทายด้าน Supply Chain ในปี 2020 ด้วยระบบ Intelligent Warehouse ครบวงจร

การแพร่ระบาดของ COVID-19 ที่ปั่นป่วน Supply Chain ไปทั่วโลกในปีนี้นั้นเป็นเหตุการณ์หนึ่งที่เน้นย้ำให้เห็นชัดถึงความสำคัญของการจัดการ Supply Chain ที่ดี เมื่อความผันผวนเป็นสิ่งที่ต้องเผชิญในทุกวัน การตัดสินใจที่รวดเร็วและเหมาะสมกับบริบทก็ย่อมสร้างข้อได้เปรียบให้กับธุรกิจ หนึ่งซอฟต์แวร์ที่สามารถตอบโจทย์ความรวดเร็วและการเปลี่ยนแปลงนี้ได้เป็นอย่างดีคือ Infor WMS ซึ่งเป็นซอฟต์แวร์จัดการคลังสินค้าอย่างครบวงจรที่พัฒนาขึ้นจากองค์ความรู้มากกว่า …

REvil Ransomware เปลี่ยนโมเดลเรียกค่าไถ่ ทำรายได้กว่า 3,000 ล้านบาทต่อปี

แฮ็กเกอร์ผู้พัฒนา REvil Ransomware ออกมาเปิดเผยว่า พวกเขาสามารถทำเงินได้มากถึง 3,000 ล้านบาทภายใน 1 ปี โดยเปลี่ยนแนวทางเรียกค่าไถ่ใหม่ จากการเข้ารหัสไฟล์ไปเป็นการขโมยไฟล์แล้วขู่เผยแพร่สู่สาธารณะ ส่งผลให้องค์กรขนาดใหญ่ตัดสินใจยอมจ่ายค่าไถ่มากขึ้น