بلندگوهای هوشمند ابزاری برای استراق سمع!
یک محقق حوزه امنیت به‌نام مارک بارنز نشان داده است که چطور یک دستگاه دیجیتال رومیزی نظیر Echo شرکت آمازون، در عرض چند دقیقه به یک ابزار جاسوسی و استراق سمع تبدیل می‌شود.

1606683296_1_0.gif

مارک بارنز برای این کار از روشی استفاده کرده است که با کمک آن هر کسی قادر خواهد بود یک بدافزار را روی اکو نصب کند. او نرم‌افزاری طراحی کرده که قادر است به‌طور مخفیانه صداهای محیط را از طریق دستگاه هک شده جمع‌آوری و برای سروری در دوردست‌ها ارسال کند. هکر برای اجرای این روش باید به دستگاه قربانی دسترسی فیزیکی داشته باشد و این روش تنها روی اکوهایی اجرا می‌شود که پیش از سال 2017 به فروش رفته باشند. هرچند در حال حاضر صاحبان اکوهای جدید نباید نگران نفوذ هکرها به این بلندگوهای هوشمند باشند، با این حال همیشه تردیدهایی درباره امنیت چنین دستگاه‌هایی مطرح بوده است.


در این روش، از یک آسیب‌پذیری فیزیکی استفاده شده است که در اکوهای ارائه شده تا سال 2017 وجود دارد. اگر دستگاه را باز کنیم، به شبکه‌ای از صفحات کوچک فلزی دسترسی خواهیم یافت که اتصال فیزیکی به بخش سخت‌افزار داخلی دستگاه را ممکن می‌سازد.  احتمالاً از این اتصالات برای آزمایش و رفع خطاهای دستگاه پیش از عرضه به بازار استفاده می‌شده است. یکی از این اتصالات این امکان را به اکو می‌دهد که داده‌ها را از یک کارت حافظه SD بخواند. بارنز با لحیم کردن اتصالات به دو تا از این صفحات فلزی و سیم‌بندی آن‌ها به لپ‌تاپ و یک کارت‌خوان موفق شد اکو را از روی کارت حافظه SD راه‌اندازی و نرم‌افزار خود را روی آن نصب کند. هرچند در این مورد، فرآیند لحیم‌کاری ساعت‌ها زمان برده است و سیم‌ها کاملاً به چشم می‌آیند، اما او معتقد است می‌توان ابزاری ساخت که با استفاده از پایه‌هایی به طور مستقیم و در عرض چند دقیقه به صفحات روی اکو متصل شود. البته بدافزاری که او برای حمله استفاده کرده است، علاوه بر تحت کنترل درآوردن میکروفن دستگاه و ارسال صدای محیط برای مهاجم قادر است به‌سادگی اعمال خرابکارانه دیگری را نیز انجام دهد. به طور مثال، اکو را به یک نقطه دسترسی برای حمله به سایر بخش‌های شبکه تبدیل کند یا حساب کاربری آمازون صاحب اکو را بدزدد.
شرکت آمازون در نسخه‌های جدید اکو، این آسیب‌پذیری فیزیکی را پوشش داده و بیان کرده است: «برای اطمینان از اینکه حداکثر امنیت وجود دارد، به عنوان یک قانون کلی، ما به مشتریان توصیه می‌کنیم دستگاه‌های آمازون را به طور مستقیم از شرکت آمازون یا از فروشگاه‌های مجاز مورد تأیید آمازون تهیه کنند و نرم‌افزار دستگاه را به‌روز نگه دارند.»

الف: بر روی نسخه‌های قدیمی‌تر اکو، مجموعه‌ای از اتصالات وجود دارد که به‌راحتی در دسترس قرار دارند و می‌توان با کمک آن‌ها به سخت‌افزار داخلی اکو متصل شد.
ب: بارنز موفق شد با استفاده از این اتصالات، اکو را از روی کارت SD راه‌اندازی و آن را به یک ابزار جاسوسی تبدیل کند.

بارنز می‌گوید این کار او هشداری بوده است به کسانی که دستگاه‌هایی نظیر اکو را از منابع غیرمعتبر تهیه می‌کنند. با این حال، او به این نکته هم اشاره می‌کند که برخلاف ادعای آمازون، مشکل نسخه‌های پیشین اکو با هیچ به‌روزرسانی نرم‌افزاری حل نخواهد شد، زیرا مشکل مذکور ناشی از در دسترس بودن اتصالات فیزیکی سخت‌افزار است نه یک ایراد نرم‌افزاری. او معتقد است مردم باید در استفاده از چنین ابزاری در اماکن عمومی بیشتر دقت کنند. به طور مثال، در برخی هتل‌ها در هر اتاق یک اکو قرار دارد و بر اینکه چه کسی از اکو استفاده می‌کند نظارتی نمی‌شود. شاید مسافر قبلی یا حتی کارگر خدماتی هتل چیزی روی اکو نصب کرده و مسافر بعدی از آن بی‌خبر باشد. او پیشنهاد می‌کند که ابزاری نظیر اکو باید مجهز به دکمه‌ای سخت‌افزاری برای توقف عملکرد باشد، به طوری که توسط بدافزار قابل دور زدن نباشد و البته راهکار ساده‌تری هم است: «خاموش کردن دستگاه.»

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟