Breaking News

นักวิจัยพบวิธีใหม่ในการโจมตี Alexa และ Google Home Assistants

ทีมนักวิจัยชาวจีนและสหรัฐอเมริกาได้ร่วมกันตีพิมพ์งานวิจัยที่ได้ศึกษาเกี่ยวกันการโจมตีด้วยเสียงกับความสามารถจาก Alexa และ Google Home ที่มีการรับคำสั่งด้วยเสียงโดยให้ชื่อการโจมตีว่า ‘Voice Squatting’ โดยไอเดียคือการหลอกให้ผู้ใช้งานเปิดแอปที่มีเสียงคล้ายกันและอาจจะใช้แอปอันตรายเก็บข้อมูลอื่นได้

Voice Squatting ที่นักวิจัยทดลองนั้นเพราะทาง Amazon และ Google เปิดให้นักวิจัยสามารถเข้ามาลงทะเบียนแอปช่วยเหลือทางเสียงที่คล้ายกันได้ (ทาง Amazon เรียกว่า ‘Skills‘ ฝั่ง Google เรียกว่า ‘Actions‘) ตัวอย่างเช่น คำว่า ‘open capital won’ และ ‘open capital one’ ซึ่งเป็นคำสั่งเปิดแอปการธนาคาร จะเห็นได้ว่ามีความเหมือนของเสียงอยู่ ดังนั้นถ้าเรียกผิดก็อาจจะเปิดแอปอันตรายขึ้นมาได้ อย่างไรก็ตามมันใช้ได้ดีกับผู้ใช้ภาษาที่ไม่ใช้เจ้าของภาษาหรือสภาวะแวดล้อมที่มีเสียงรบกวนมากเท่านั้น สามารถชมวีดีโอการโจมตีกับ Alexa และ Google Home ได้จากด้านล่าง

นอกจากนี้ในงานยังมีวิธีการโจมตีอย่าง ‘Voice Masquerading’ ปรากฏในงานวิจัยด้วย แต่มันก็ไม่ใช้เรื่องใหม่เนื่องจากเคยมีการเผยการโจมตีลักษณะนี้แล้ว โดยไอเดียก็คือทำให้แอปพลิเคชันสามารถรับคำสั่งได้นานขึ้นโดยที่ผู้ใช้งานไม่รู้ตัวว่ามันยังไม่จบการทำงานและเมื่อผู้ใช้คาดหวังแอปอื่นๆ ด้วยการออกคำสั่งใหม่แอปอันตรายก็ยังได้ข้อมูลของผู้ใช้งานและสามารถตอบสนองความต้องการในเวอร์ชันของตนได้ด้วย ผู้สนใจสามารถดูรายละเอียดเพิ่มเติมได้ที่ “Understanding and Mitigation the Security Risks of Voice-Controlled Third-Party Skills on Amazon Alex and Google Home


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนสแปม Cisco Webex หลอกเปลี่ยนเส้นทางเหยื่อไปดาวน์โหลดมัลแวร์

Alex Lanstein ผู้อำนวยการอาวุโสจาก FireEye ออกมาแจ้งเตือนถึงแคมเปญสแปม Cisco Webex ซึ่งใช้การโจมตีแบบ Open Redirect หลอกเหยื่อที่เผลอกด “Join Meeting” ให้เปลี่ยนเส้นทางไปดาวน์โหลด Remote …

ส่องกลยุทธ์รุกตลาด Multi-cloud ในงาน Microsoft Ignite 2019

แม้ว่างานใหญ่ของ Microsoft จะจบลงไปแล้ว แต่ทาง NetworkComputing ได้เสนอบทความที่นำเสนอถึงกลยุทธ์ที่บริษัทยักษ์ใหญ่นี้ ได้ประกาศออกมาในช่วงงานเพื่อตอบสนองกับการใช้งาน Multi-cloud โดยทางเราเห็นว่าน่าสนใจดีจึงขอสรปุมาให้ติดตามกันสั้นๆ ครับ