Breaking News
AMR | Sophos Webinar

นักวิจัยเปลี่ยน Amazon Echo ให้เป็นอุปกรณ์ดักฟัง

นักวิจัยด้านความมั่นคงปลอดภัยจาก Checkmarx ได้ค้นพบวิธีการใช้ความสามารถของ Alexa ที่ออกแบบมาให้นักพัฒนา เพื่อเปลี่ยนอุปกรณ์ Echo ให้สามารถสอดแนมผู้ใช้ได้ โดยอาศัยฟีเจอร์ SDK เช่น skill, intents, slots, reprompts หรือ พารามิเตอร์ End session

credit : ComputerWeekly.com

วิธีการคือทีม Checkmarx ได้สร้างแอปพลิเคชันเครื่องคิดเลขที่สามารถรอฟังได้ต่อเนื่องแม้จะตอบคำถามของผู้ใช้งานไปแล้ว โดยตั้งค่าพารามิเตอร์ ‘shouldEndSession’ เป็น false คือมันจะสามารถรอคำถามต่อไปได้โดยไม่ต้องให้ผู้ใช้พูดคำว่า “Alexa เปิดแอปเครื่องคิดเลขหน่อย” นอกจากนี้แอปที่นักวิจัยสร้างขึ้นยังสามารถเปิดและบันทึกเสียงรอบข้างซึ่งสามารถแปลงเสียงไปเป็นอักษรได้ซึ่งนักพัฒนาแอปจะสามารถเห็นได้ในล็อกของแอปพลิเคชัน

อีกหนึ่งช่องทางที่นักวิจัยทำคือแก้พารามิเตอร์ ‘Reprompt’ ที่แอปพลิเคชันมักใช้เพื่อกำหนดเวลาให้ผู้ใช้ป้อน Input เข้ามาซ้ำๆ และเมื่อรวมกับ ‘shouldEndSession’ มันสามารถขยายเวลาให้ Alexa รอ input อย่างงียบๆ ได้จาก 8 วินาทีเป็น 16 วินาที อย่างไรก็ตามนักวิจัยกล่าวว่า Amazon ได้แก้ไขการใช้งาน Reprompt และระยะเวลาของ Session อย่างไม่เหมาะสมแล้ว สามารถติดตามรายงานของนักวิจัยได้ที่นี่ หรือ ชมวีดีโอสาธิตวิธีการได้ตามด้านล่าง

ที่มา : https://www.bleepingcomputer.com/news/security/researchers-turn-amazon-echo-into-an-eavesdropping-device/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] Workforce Transformation สู่ยุค New Normal ด้วย Dell Technologies

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Geton | Dell Webinar เรื่อง “Workforce Transformation สู่ยุค New Normal” พร้อมแชร์กรณีศึกษาจากความสำเร็จในการพลิกโฉมการทำงานสู่วิถีใหม่ (New Normal) ของ …

[Video Webinar] Data Security – Protect Data Where it Lives โดย McAfee

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Exclusive Networks | McAfee Webinar เรื่อง “Data Security – Protect Data Where it Lives” …