Breaking News

นักวิจัยเปลี่ยน Amazon Echo ให้เป็นอุปกรณ์ดักฟัง

นักวิจัยด้านความมั่นคงปลอดภัยจาก Checkmarx ได้ค้นพบวิธีการใช้ความสามารถของ Alexa ที่ออกแบบมาให้นักพัฒนา เพื่อเปลี่ยนอุปกรณ์ Echo ให้สามารถสอดแนมผู้ใช้ได้ โดยอาศัยฟีเจอร์ SDK เช่น skill, intents, slots, reprompts หรือ พารามิเตอร์ End session

credit : ComputerWeekly.com

วิธีการคือทีม Checkmarx ได้สร้างแอปพลิเคชันเครื่องคิดเลขที่สามารถรอฟังได้ต่อเนื่องแม้จะตอบคำถามของผู้ใช้งานไปแล้ว โดยตั้งค่าพารามิเตอร์ ‘shouldEndSession’ เป็น false คือมันจะสามารถรอคำถามต่อไปได้โดยไม่ต้องให้ผู้ใช้พูดคำว่า “Alexa เปิดแอปเครื่องคิดเลขหน่อย” นอกจากนี้แอปที่นักวิจัยสร้างขึ้นยังสามารถเปิดและบันทึกเสียงรอบข้างซึ่งสามารถแปลงเสียงไปเป็นอักษรได้ซึ่งนักพัฒนาแอปจะสามารถเห็นได้ในล็อกของแอปพลิเคชัน

อีกหนึ่งช่องทางที่นักวิจัยทำคือแก้พารามิเตอร์ ‘Reprompt’ ที่แอปพลิเคชันมักใช้เพื่อกำหนดเวลาให้ผู้ใช้ป้อน Input เข้ามาซ้ำๆ และเมื่อรวมกับ ‘shouldEndSession’ มันสามารถขยายเวลาให้ Alexa รอ input อย่างงียบๆ ได้จาก 8 วินาทีเป็น 16 วินาที อย่างไรก็ตามนักวิจัยกล่าวว่า Amazon ได้แก้ไขการใช้งาน Reprompt และระยะเวลาของ Session อย่างไม่เหมาะสมแล้ว สามารถติดตามรายงานของนักวิจัยได้ที่นี่ หรือ ชมวีดีโอสาธิตวิธีการได้ตามด้านล่าง

ที่มา : https://www.bleepingcomputer.com/news/security/researchers-turn-amazon-echo-into-an-eavesdropping-device/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ขอเชิญร่วมงานสัมมนาออนไลน์ฟรี VMware EVOLVE Online 2020 ลุ้นรับฟรี iPad Pro และ Apple Watch

ขอเชิญทุกท่านในวงการ IT เข้าร่วมงานสัมมนาออนไลน์ฟรี VMware EVOLVE Online 2020 งานสัมมนาออนไลน์ใหญ่จาก VMware ที่อัปเดตเทคโนโลยีล่าสุดพร้อมกันทั่วโลก พร้อมทำ Online Hands-on Lab เพื่อทำความรู้จักกับ VMware vSphere 7, VMware Tanzu Mission Control, Container, Software-Defined Networking, Hybrid Cloud และ VMware Cloud on AWS ซึ่งสามารถเข้าร่วมในเวลาใดก็ได้จนถึงวันที่ 30 มิถุนายน 2020 พร้อมลุ้นรับรางวัลสุดพิเศษ Apple iPad Pro, Apple Watch, Apple AirPods Pro และ Bang & Olufsen BeoPlay E8 2.0 โดยมีรายละเอียดของกิจกรรมต่างๆ ภายในงาน และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้

[Video Webinar] แนะนำ 6 เทคโนโลยีการปกป้องข้อมูลให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “แนะนำ 6 เทคโนโลยีการปกป้องข้อมูลให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล” พร้อมเจาะลึกความต้องการของ พ.ร.บ.ฯ ฉบับดังกล่าว และทำความรู้จักเทคโนโลยีแต่ละประเภทที่องค์กรสามารถนำไปประยุกต์ใช้เพื่อให้ตอบโจทย์ความต้องการเหล่านั้น ที่เพิ่งจัดไปเมื่อเดือนมีนาคมที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง …