یک سال پس از انتشار اولین گزارش‌ها درباره‌ی حفره‌های امنیتی گوگل و سرویس مشابه ساخت گوگل، آمازون و گوگل هنوز موفق به برطرف کردن این حفره‌ها نشده‌اند.

هکرها می‌توانند الکسا و دستیار صوتی هوشمند گوگل را به ابزارهایی برای استراق سمع از کاربران تبدیل کنند یا از طریق نفوذ به آن‌ها، بدون اینکه کاربر متوجه شود، اطلاعات مهم و شخصی او را از خودش دریافت کنند.

این موضوع، مسئله‌ای تازه نیست. آوریل ۲۰۱۸ بررسی‌های موسسه‌ی تحقیقات امنیت شبکه‌ی چک‌مارکس حفره‌های امنیتی مشابهی را روی الکسا شناسایی کرد. این موسسه ماه مه همان سال حفره‌ای مشابه روی دستیار صوتی گوگل و چند ماه بعد موردی تکراری روی الکسا شناسایی کرد. هرچند آمازون و گوگل ظاهرا این حفره‌ها را برطرف کردند اما هربار، روش‌هایی جدیدی برای عبور از لایه‌های امنیتی آن‌ها کشف شد.

آخرین مورد از این روش‌های جدید، توسط لوییس فریش و فابین برونلین، دو محقق موسسه‌ی تحقیقات امنیت شبکه‌ی SRlabs کشف شده است. نتایج تحقیقات این دو محقق که در اختیار خبرگزاری ZDent قرار گرفته، نشان می‌دهد بک‌اندهایی که گوگل و آمازون برای شخصی‌سازی دستیار صوتی گوگل و الکسا در اختیار توسعه‌دهندگان قرار می‌دهد، مسیر اصلی برای انجام فیشینگ یا استراق سمع است.

این بک‌اندها دسترسی توسعه‌دهندگان به توابع موردنیازشان برای شخصی‌سازی نحوه‌ی پاسخ دستیار صوتی به فرامین را فراهم می‌کنند. محققان موسسه‌ی SRIabs کشف کرده‌اند که با درج کارکتر «�. » (U+D801, dot, space) در بخش‌های مختلفی از بک‌اند یک اپلیکیشن عادی الکسا یا دستیار صوتی گوگل می‌توان در زمان فعال بودن این دستیار صوتی، آن را وادار کرد مدت زمان زیادی، واکنشی نشان ندهد.

روش کار هکرها به این صورت است که ابتدا کاری می‌کنند کاربر فکر کند یکی از اپلیکیشن‌ها مشکلی دارد، بعد از آن «�. » را وارد بک‌اند کنند و باعث شوند دستیار صوتی درحالی که کار می‌کند، پاسخی به فرمان‌ها ندهد و بعد از چند دقیقه یک پیغام فیشینگ برای کاربر ارسال کنند. در این شرایط کاربر تصور نمی‌کند که پیغام فیشینگ ارتباطی با اپلیکیشن قبلی داشته باشد.

تیم تحقیقاتی موسسه‌ی STLabs اعلام کرده، حدود یک سال پیش این حفره‌های امنیتی را به شرکت‌های سازنده‌ی این دستیارها گزارش داده اما آن‌ها هنوز موفق نشده‌اند مشکل را برطرف کنند.

آمازون به درخواست ZDnet برای اظهار نظر در این‌باره پاسخی نداده است.

یک سخنگوی گوگل درباره‌ی این مسئله اعلام کرد:

تمام فعالیت‌هایی که در گوگل انجام می‌شوند، باید از سیاست‌های توسعه‌دهندگان ما پیروی کنند و ما تضمین می‌کنیم مقابل هر فعالیتی که این سیاست‌ها را نقض کنند خواهیم ایستاد. ما گزارش‌های دریافتی در این‌باره را بررسی و موارد ناقض قوانین را حذف کردیم. گوگل مکانیزم‌هایی برای جلوگیری از تکرار این اتفاق‌ها در آینده ایجاد کرده است.

گوگل همچنین اعلام کرده، دستیار صوتی گوگل هرگز از کاربران خود رمز عبوری درخواست نخواهد کرد و بخش امنیتی این شرکت در حال بررسی اپلیکیشن‌های تولیدشده توسط شرکت‌های دیگر است.

منبع : https://www.zdnet.com/article/alexa-and-google-home-devices-leveraged-to-phish-and-eavesdrop-on-users-again/