विषय
- अमेज़ॅन इको और Google होम स्पीकर पर वॉयस फ़िशिंग पासवर्ड
- अमेज़ॅन इको और Google होम स्पीकर के माध्यम से उपयोगकर्ताओं पर एवरसड्रॉपिंग
हम जानते थे कि Google और Amazon अपने उपयोगकर्ताओं को उनके आवाज-सक्रिय इको और होम स्मार्ट स्पीकर के माध्यम से सुनते हैं। हालांकि, सुरक्षा शोधकर्ताओं के एक समूह ने अब यह प्रदर्शित किया है कि कैसे तृतीय-पक्ष एप्लिकेशन उपयोगकर्ताओं और पासवर्ड जैसी संवेदनशील जानकारी को आसानी से प्रकट कर सकते हैं।
जर्मनी के एसआरएबी के शोधकर्ताओं ने अमेज़ॅन एलेक्सा और Google होम / नेस्ट उपकरणों दोनों के लिए दो हैकिंग परिदृश्य - ईवेर्सड्रॉपिंग और फ़िशिंग - पाए गए। इन स्मार्ट स्पीकर को स्मार्ट जासूस में बदल देने वाले हैक्स को प्रदर्शित करने के लिए उन्होंने आठ वॉइस ऐप (एलेक्सा के लिए कौशल और Google होम के लिए कार्यवाहक) बनाए। एसआरएबी द्वारा बनाई गई दुर्भावनापूर्ण वॉयस ऐप्स आसानी से अमेज़ॅन और Google की व्यक्तिगत स्क्रीनिंग प्रक्रियाओं से गुजरती हैं।
अमेज़ॅन एलेक्सा और Google होम उपयोगकर्ताओं पर छिपकर देखने और उनसे जानकारी प्राप्त करने के लिए विभिन्न तरीकों का उपयोग किया गया था। शोधकर्ता अमेज़ॅन और Google द्वारा ऐप्स को अनुमोदित करने के बाद हैकिंग के लिए बनाए गए कौशल और कार्यों की कार्यक्षमता को बदलने में सक्षम थे। उक्त परिवर्तन किए जाने के बाद समीक्षा का कोई दूसरा दौर नहीं था।
अमेज़ॅन इको और Google होम स्पीकर पर वॉयस फ़िशिंग पासवर्ड
नीचे दिए गए वीडियो में, आप देखते हैं कि कैसे एक उपयोगकर्ता एलेक्सा को माई लकी कुंडली नामक एक कौशल शुरू करने के लिए कहता है। यह एक दुर्भावनापूर्ण एलेक्सा स्किल है, जिसे पासवर्ड के लिए एसआईबीएएस द्वारा बनाया और संशोधित किया गया है।
एप्लिकेशन एक स्वागत योग्य नहीं देता है और इसके बजाय, यह कहते हुए जवाब देता है, "यह कौशल वर्तमान में आपके देश में उपलब्ध नहीं है।" इस बिंदु पर, एक उपयोगकर्ता यह मान लेगा कि ऐप ने सुनना बंद कर दिया है, लेकिन यह वास्तव में नहीं है। इसके बजाय, कौशल को एक चरित्र अनुक्रम कहने के लिए हैक किया गया है जो एलेक्सा उच्चारण नहीं कर सकता है, इसलिए जब यह वास्तव में रुका हुआ और सुन रहा हो तो स्पीकर चुप रहता है।
कौशल फिर एक फ़िशिंग कहते हैं, “आपके एलेक्सा डिवाइस के लिए एक नया अपडेट उपलब्ध है। कृपया अपने पासवर्ड के बाद प्रारंभ करें।
Google होम मिनी स्पीकर पर ध्वनि-फ़िशिंग पासवर्ड के लिए एक समान दृष्टिकोण का उपयोग किया गया था।
अमेज़ॅन इको और Google होम स्पीकर के माध्यम से उपयोगकर्ताओं पर एवरसड्रॉपिंग
Eavesdropping के लिए, शोधकर्ताओं ने अमेज़न के स्मार्ट स्पीकर के लिए उसी कुंडली ऐप का उपयोग किया। ऐप उपयोगकर्ता को यह विश्वास दिलाता है कि इसे रोक दिया गया है जबकि यह चुपचाप पृष्ठभूमि में सुनता है।
Google होम के लिए, हैक और भी आसान था और ईगलड्रॉप के लिए ट्रिगर शब्द निर्दिष्ट करने की आवश्यकता नहीं थी। शोधकर्ताओं ने ध्यान दिया कि इस मामले में, उपयोगकर्ता को एक लूप में रखा जाता है, क्योंकि "डिवाइस लगातार हैकर के सर्वर में वॉयस इनपुट भेजता है, जबकि बीच में छोटी चुप्पी को आउटपुट करता है।"
एसआरएबी ने उन सभी ऐप्स को नीचे ले लिया है जो ऊपर दिखाए गए वीडियो में डेमो किए गए हैं। शोधकर्ताओं ने अपने निष्कर्षों को अमेजन और गूगल को भी बताया।
के अनुसार आर्स टेक्नीका, दोनों कंपनियों ने यह कहकर जवाब दिया कि वे भविष्य में इस तरह के हैक से बचने के लिए अपनी अनुमोदन प्रक्रियाओं को बदल रहे हैं और अतिरिक्त तंत्र अपना रहे हैं।
हालाँकि, अमेज़न या Google की ओर से कोई अपडेट नहीं है कि ये मुद्दे कब तय होंगे। यह जानने का कोई तरीका नहीं है कि किसी कौशल या क्रिया ने अतीत में इन खामियों का दुरुपयोग किया है या नहीं।
