உள்ளடக்கம்
- அமேசான் எக்கோ மற்றும் கூகிள் ஹோம் ஸ்பீக்கர்களில் குரல் ஃபிஷிங் கடவுச்சொற்கள்
- அமேசான் எக்கோ மற்றும் கூகிள் ஹோம் ஸ்பீக்கர்கள் மூலம் பயனர்களைக் கேட்கிறது
கூகிள் மற்றும் அமேசான் அவர்களின் குரல் செயல்படுத்தப்பட்ட எக்கோ மற்றும் ஹோம் ஸ்மார்ட் ஸ்பீக்கர்கள் மூலம் பயனர்களைக் கேட்பதை நாங்கள் அறிவோம். இருப்பினும், பாதுகாப்பு ஆய்வாளர்கள் குழு இப்போது மூன்றாம் தரப்பு பயன்பாடுகள் பயனர்கள் மற்றும் கடவுச்சொற்கள் போன்ற குரல்-ஃபிஷ் முக்கியமான தகவல்களை எவ்வாறு எளிதில் கேட்க முடியும் என்பதை நிரூபித்துள்ளன.
ஜெர்மனியின் SRLabs இன் ஆராய்ச்சியாளர்கள் அமேசான் அலெக்சா மற்றும் கூகிள் ஹோம் / நெஸ்ட் சாதனங்களுக்கான இரண்டு ஹேக்கிங் காட்சிகளைக் கண்டறிந்தனர். இந்த ஸ்மார்ட் ஸ்பீக்கர்களை ஸ்மார்ட் ஒற்றர்களாக மாற்றும் ஹேக்குகளை நிரூபிக்க எட்டு குரல் பயன்பாடுகளை (அலெக்ஸாவுக்கான திறன்கள் மற்றும் கூகிள் இல்லத்திற்கான செயல்கள்) உருவாக்கியுள்ளனர். SRLabs உருவாக்கிய தீங்கிழைக்கும் குரல் பயன்பாடுகள் அமேசான் மற்றும் கூகிளின் தனிப்பட்ட திரையிடல் செயல்முறைகள் வழியாக எளிதாக அனுப்பப்படுகின்றன.
அமேசான் அலெக்சா மற்றும் கூகிள் ஹோம் பயனர்களைக் கேட்கவும், அவர்களிடமிருந்து தகவல்களை ஃபிஷ் செய்யவும் வெவ்வேறு அணுகுமுறைகள் பயன்படுத்தப்பட்டன. அமேசான் மற்றும் கூகிள் பயன்பாடுகளுக்கு ஒப்புதல் அளித்த பின்னர், ஹேக்கிங்கிற்காக அவர்கள் உருவாக்கிய திறன்கள் மற்றும் செயல்களின் செயல்பாட்டை ஆராய்ச்சியாளர்கள் மாற்ற முடிந்தது. கூறப்பட்ட மாற்றங்கள் செய்யப்பட்ட பின்னர் இரண்டாவது சுற்று மதிப்புரைகள் கேட்கப்படவில்லை.
அமேசான் எக்கோ மற்றும் கூகிள் ஹோம் ஸ்பீக்கர்களில் குரல் ஃபிஷிங் கடவுச்சொற்கள்
கீழேயுள்ள வீடியோவில், மை லக்கி ஜாதகம் எனப்படும் திறமையைத் தொடங்க ஒரு பயனர்கள் அலெக்சாவிடம் எப்படிக் கேட்கிறார்கள் என்பதை நீங்கள் காண்கிறீர்கள். இது தீங்கிழைக்கும் அலெக்சா திறன் ஆகும், இது கடவுச்சொற்களை ஃபிஷ் செய்ய SRLabs ஆல் உருவாக்கப்பட்டது மற்றும் மாற்றப்பட்டது.
பயன்பாடு வரவேற்பை அளிக்காது, அதற்கு பதிலாக, “இந்த திறன் தற்போது உங்கள் நாட்டில் கிடைக்கவில்லை” என்று பதிலளிக்கிறது. இந்த கட்டத்தில், ஒரு பயனர் பயன்பாடு கேட்பதை நிறுத்திவிட்டதாக கருதுவார், ஆனால் அது உண்மையில் இல்லை. அதற்கு பதிலாக, அலெக்ஸாவால் உச்சரிக்க முடியாத ஒரு எழுத்துக்குறி வரிசையைச் சொல்வதற்கான திறன் ஹேக் செய்யப்பட்டுள்ளது, எனவே பேச்சாளர் உண்மையில் இடைநிறுத்தப்பட்டு கேட்கும்போது அமைதியாக இருக்கிறார்.
திறமை பின்னர் ஃபிஷிங் என்று கூறுகிறது, “உங்கள் அலெக்சா சாதனத்திற்கு ஒரு புதிய புதுப்பிப்பு கிடைக்கிறது. உங்கள் கடவுச்சொல்லைத் தொடர்ந்து தொடங்குங்கள் என்று சொல்லுங்கள். ”அமேசான் ஒருபோதும் கடவுச்சொற்களை இந்த முறையில் கேட்கவில்லை என்றாலும், தெரியாத பயனர்கள் பாதுகாப்பில்லாமல் இருக்க முடியும்.
கூகிள் ஹோம் மினி ஸ்பீக்கரில் குரல்-ஃபிஷிங் கடவுச்சொற்களுக்கு இதேபோன்ற அணுகுமுறை பயன்படுத்தப்பட்டது.
அமேசான் எக்கோ மற்றும் கூகிள் ஹோம் ஸ்பீக்கர்கள் மூலம் பயனர்களைக் கேட்கிறது
விழிப்புணர்வுக்காக, ஆராய்ச்சியாளர்கள் அமேசானின் ஸ்மார்ட் ஸ்பீக்கருக்கும் அதே ஜாதக பயன்பாட்டைப் பயன்படுத்தினர். பயன்பாடானது பின்னணியில் அமைதியாகக் கேட்கும்போது அது நிறுத்தப்பட்டதாக நம்புவதற்கு பயனரை ஏமாற்றுகிறது.
கூகிள் இல்லத்தைப் பொறுத்தவரை, ஹேக் இன்னும் எளிதானது மற்றும் செவிமடுக்க தூண்டுதல் சொற்களைக் குறிப்பிட வேண்டிய அவசியமில்லை. இந்த விஷயத்தில், பயனர் ஒரு சுழற்சியில் "சாதனம் தொடர்ந்து குரல் உள்ளீடுகளை ஹேக்கரின் சேவையகத்திற்கு அனுப்புகிறது, அதே நேரத்தில் குறுகிய ம n னங்களை வெளியிடுகிறது" என்று ஆராய்ச்சியாளர்கள் குறிப்பிடுகின்றனர்.
மேலே காட்டப்பட்ட வீடியோக்களில் டெமோ செய்யப்பட்ட அனைத்து பயன்பாடுகளையும் SRLabs எடுத்துள்ளது. ஆராய்ச்சியாளர்கள் தங்கள் கண்டுபிடிப்புகளை அமேசான் மற்றும் கூகிள் நிறுவனங்களுக்கும் தெரிவித்தனர்.
படி ஆர்ஸ் டெக்னிகா, இரு நிறுவனங்களும் தங்களது ஒப்புதல் செயல்முறைகளை மாற்றி வருவதாகவும், எதிர்காலத்தில் இதுபோன்ற ஹேக்குகளைத் தவிர்ப்பதற்கு கூடுதல் வழிமுறைகளைப் பின்பற்றுவதாகவும் கூறி பதிலளித்தன.
எவ்வாறாயினும், இந்த சிக்கல்கள் எப்போது சரிசெய்யப்படும் என்பதைக் கூற அமேசான் அல்லது கூகிளிலிருந்து எந்த புதுப்பிப்பும் இல்லை. கடந்த காலங்களில் இந்த ஓட்டைகளை ஒரு திறமை அல்லது செயல் தவறாகப் பயன்படுத்தியது என்பதை அறிய எந்த வழியும் இல்லை.