كشف باحثو الأمن في شركة SRLabs عن ثغرة أمنية جديدة تؤثر على مكبرات الصوت المنزلية الذكية من شركتي جوجل وأمازون، وتسمح هذه الثغرة للمتسللين بالتنصت على المستخدمين أو حتى الاحتيال عليهم وتحويل مكبرات الصوت إلى أداة للتنصت أو الخداع.
وأظهر الباحثون – من خلال تحميل برمجيات ضارة متنكرة في صورة إحدى مهارات أليكسا أو إجراءات جوجل غير الضارة – كيف يمكنك جعل مكبرات الصوت الذكية تسجيل أحاديث المستخدمين بشكل سري، أو حتى طلب الحصول على كلمة مرور حساب جوجل من المستخدمين.
وتمثل المشكلة الجديدة تذكيرًا للمستخدمين بضرورة مراقبة برمجيات الجهات الخارجية المستخدمة على مكبرات الصوت المنزلية الذكية عن كثب وحذف أي برنامج من غير المرجح استخدامه مرة أخرى حيثما أمكن ذلك.
ويقول خبراء في Security Research Labs: إن التطبيقات كانت مصممة لاستهداف البيانات الشخصية، مثل التسجيلات الصوتية؛ وكلمات المرور؛ لمستخدمي Google Home و Amazon Echo.
يذكر أنه لا يوجد دليل على استغلال الثغرة الأمنية الجديدة في العالم الحقيقي، وقد كشفت شركة SRLabs عن نتائجها لكل من جوجل وأمازون قبل نشرها على الملأ.
وأظهر الفريق في SRLabs كيف تعمل الاختراقات في سلسلة من مقاطع الفيديو، والتي يوضح أحدها إجراء لجهاز Google Home يتيح للمستخدم طلب إنشاء رقم عشوائي، بحيث ينفذ الإجراء المهمة نفسها، لكنه يستمر في الاستماع لفترة طويلة بعد تنفيذ الأمر الأولي.
بينما يوضح مقطع فيديو آخر استغلال مهارة غير ضارة خاصة بأليكسا تتعلق بالأبراج، حيث تمكنت الشركة من تجاهل أمر التوقف عن الاستماع الصادر عن المستخدم ومواصلة الاستماع بشكل سري.
ويظهر مقطعان آخران كيف يمكن التلاعب بالجهازين لإعطاء رسائل خطأ مزيفة من أجل طلب كلمة مرور المستخدم.
وكان فريق SRLabs قادرًا في جميع الحالات على تجاوز دفاعات جوجل وأمازون واستغلال الثغرة في كل من المساعدين الصوتيين مما سمح لهم بالاستمرار في الاستماع لفترة أطول من المعتاد.
وبالرغم من أنه يجب فحص برامج الجهات الخارجية لأي من مكبرات الصوت واعتمادها بواسطة جوجل وأمازون قبل استخدامها، فإن الشركات لا تتحقق من تحديثات التطبيقات الحالية، مما سمح للباحثين بوضع التعليمات البرمجية الخبيثة ضمن برامجهم التي يمكن للمستخدمين الوصول إليها بعد ذلك.
وأوضحت أمازون في بيان أنها وضعت إجراءات جديدة لمنع واكتشاف المهارات من القدرة على القيام بهذا النوع من الأشياء في المستقبل.
فيما قالت جوجل: إن لديها عمليات مراجعة للكشف عن هذا النوع من السلوك، وإنها أزالت الإجراءات التي أنشأها الباحثون الأمنيون، وإنها تجري مراجعة داخلية لجميع إجراءات الجهات الخارجية، وقد عطلت بعض الإجراءات مؤقتًا أثناء حدوث ذلك.