นักวิจัยเปลี่ยน Amazon Echo ให้เป็นอุปกรณ์ดักฟัง

นักวิจัยด้านความมั่นคงปลอดภัยจาก Checkmarx ได้ค้นพบวิธีการใช้ความสามารถของ Alexa ที่ออกแบบมาให้นักพัฒนา เพื่อเปลี่ยนอุปกรณ์ Echo ให้สามารถสอดแนมผู้ใช้ได้ โดยอาศัยฟีเจอร์ SDK เช่น skill, intents, slots, reprompts หรือ พารามิเตอร์ End session

credit : ComputerWeekly.com

วิธีการคือทีม Checkmarx ได้สร้างแอปพลิเคชันเครื่องคิดเลขที่สามารถรอฟังได้ต่อเนื่องแม้จะตอบคำถามของผู้ใช้งานไปแล้ว โดยตั้งค่าพารามิเตอร์ ‘shouldEndSession’ เป็น false คือมันจะสามารถรอคำถามต่อไปได้โดยไม่ต้องให้ผู้ใช้พูดคำว่า “Alexa เปิดแอปเครื่องคิดเลขหน่อย” นอกจากนี้แอปที่นักวิจัยสร้างขึ้นยังสามารถเปิดและบันทึกเสียงรอบข้างซึ่งสามารถแปลงเสียงไปเป็นอักษรได้ซึ่งนักพัฒนาแอปจะสามารถเห็นได้ในล็อกของแอปพลิเคชัน

อีกหนึ่งช่องทางที่นักวิจัยทำคือแก้พารามิเตอร์ ‘Reprompt’ ที่แอปพลิเคชันมักใช้เพื่อกำหนดเวลาให้ผู้ใช้ป้อน Input เข้ามาซ้ำๆ และเมื่อรวมกับ ‘shouldEndSession’ มันสามารถขยายเวลาให้ Alexa รอ input อย่างงียบๆ ได้จาก 8 วินาทีเป็น 16 วินาที อย่างไรก็ตามนักวิจัยกล่าวว่า Amazon ได้แก้ไขการใช้งาน Reprompt และระยะเวลาของ Session อย่างไม่เหมาะสมแล้ว สามารถติดตามรายงานของนักวิจัยได้ที่นี่ หรือ ชมวีดีโอสาธิตวิธีการได้ตามด้านล่าง

ที่มา : https://www.bleepingcomputer.com/news/security/researchers-turn-amazon-echo-into-an-eavesdropping-device/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco เพิ่มความสามารถให้ Network Insights ยกระดับการป้องกันปัญหาแบบ Proactive

Cisco ได้เเผยความสามารถใหม่ในฟังก์ชัน Network Insights ใน Data Center Network Assurance ให้สามารถรวบรวมข้อมูลในเครือข่าย แจ้งเตือน และระบุปัญหา ได้ก่อนเกิดเหตุ

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ