پتر شوتا چندی پیش رسوایی در اینترنت در مورد استراق سمع کاربران به راه افتاد. بلندگوهای هوشمند آمازون و گوگل نقش اصلی را ایفا کردند. اکنون مشخص شده است که بسیاری از برنامه های شخص ثالث حتی می توانند کارهای بیشتری انجام دهند.
اسپیکرهای هوشمند آمازون و گوگل با اپل متفاوت هستند هوم پاد یک بار عملکرد ضروری آنها به برنامه های شخص ثالث اجازه می دهند تا از سخت افزار دستگاه استفاده کنند. بنابراین مهندسان نرم افزار هر دو شرکت، نبردی بی پایان با هکرهایی که همیشه یک قدم جلوتر هستند، به راه می اندازند.
کارشناسان امنیتی به اشتراک گذاشتند با سرور ZDNet در مورد یافته های خود کل حمله به کاربر شامل استفاده از یک حفره ساده در عملکرد سیستم عامل بلندگو با میکروفون داخلی است.
این به این دلیل است که برنامه های شخص ثالث فقط برای مدت زمان محدودی توانایی دسترسی به میکروفون اسپیکر را دارند. با این حال، گزینه ای برای تمدید این زمان در صورت عدم امکان درک دستور کاربر وجود دارد. و این دقیقا همان مسیری است که هکرها از آن استفاده می کنند.
یک خطای اتصال رخ داد. لطفا رمز عبور حساب Google خود را وارد کنید
رفتار استاندارد برنامه تقریباً با وضعیت زیر مطابقت دارد:
من از الکسا می خواهم مواردی را به سبد خرید برنامه من از یک فروشگاه زنجیره ای اضافه کند. برنامه تاریخچه سفارش را بررسی می کند تا پارامترهای کالا را مقایسه کند و سپس از من درخواست تأیید می کند. همزمان میکروفون را فعال کرده و منتظر جواب بله یا خیر می ماند. اگر جواب ندهم بعد از چند ثانیه میکروفون خاموش می شود.
با این حال، راهی برای دور زدن صدای میکروفون وجود دارد. این را می توان با یک رشته متن خاص "� به دست آورد. ” در کد برنامه نوشته شده است. این به راحتی می تواند زمان فعال سازی میکروفون را از چند ثانیه به زمان بسیار بیشتری افزایش دهد. بنابراین برنامه می تواند همیشه کاربر را استراق سمع کند.
گزینه دوم حتی موذیانه تر است. رشته را می توان حتی برای پردازش یک دستورالعمل صوتی استفاده و تنظیم کرد. پس از آن، برنامه را می توان مجبور کرد که برای مثال، یک حساب کاربری آمازون یا گوگل، رمز عبور درخواست کند. ویدئوهای زیر به وضوح کل روند را نشان می دهد.
میتوانست باشد به شما علاقه مند است
دیوید هاناک در همین حال، اپل به برنامه های شخص ثالث اجازه دسترسی مستقیم به میکروفون هوم پاد را نمی دهد و احتمالاً هرگز به اندازه آمازون و گوگل نخواهد بود. همه توسعه دهندگان باید از یک API ویژه استفاده کنند که صدا را کنترل می کند. کاربران آن در حال حاضر در امنیت هستند.
