مواد
- ایمیزون ایکو اور گوگل ہوم اسپیکرز پر صوتی فشنگ پاس ورڈ
- ایمیزون ایکو اور گوگل ہوم اسپیکر کے ذریعہ صارفین پر ایواسپروپنگ
ہم جانتے تھے کہ گوگل اور ایمیزون اپنے صارفین کو ان کی آواز سے چلنے والی ایکو اور ہوم اسمارٹ اسپیکر کے ذریعے سنتے ہیں۔ تاہم ، سیکیورٹی محققین کے ایک گروپ نے اب یہ ظاہر کیا ہے کہ کس طرح تیسری پارٹی کے ایپس آسانی سے صارفین اور آؤٹ فش حساس معلومات جیسے پاس ورڈز پر رو بہ زوال ہوسکتی ہیں۔
جرمنی کے ایس آر ایل لیبز کے محققین نے ایمیزون الیکسا اور گوگل ہوم / گھوںسلا دونوں آلات کے لئے ہیکنگ کے دو منظرنامے۔ ان ہیکس کا مظاہرہ کرنے کے لئے انہوں نے آٹھ صوتی ایپس (ہنر برائے الیکسا اور ایکشن برائے گوگل ہوم) بنائیں جو ان سمارٹ اسپیکروں کو اسمارٹ جاسوس میں بدل دیتے ہیں۔ SRLabs کے ذریعہ تیار کردہ بدنصیب صوتی ایپس آسانی سے ایمیزون اور گوگل کے انفرادی اسکریننگ کے عمل سے گزر گئیں۔
ایمیزون الیکسہ اور گوگل ہوم صارفین کے بارے میں مختلف طریقوں کا استعمال کیا گیا تھا اور ان سے معلومات حاصل کرنا تھا۔ ایمیزون اور گوگل کی جانب سے ایپس کی منظوری کے بعد محققین ہیکنگ کے ل created ان کی مہارت اور حرکتوں کی فعالیت کو تبدیل کرنے میں کامیاب ہوگئے تھے۔ مذکورہ تبدیلیاں کرنے کے بعد دوبارہ جائزوں کا دوسرا دور نہیں ہوا۔
ایمیزون ایکو اور گوگل ہوم اسپیکرز پر صوتی فشنگ پاس ورڈ
نیچے دی گئی ویڈیو میں ، آپ دیکھیں گے کہ کیسے صارفین الیکسا سے میرا لکی زائچہ نامی ایک مہارت شروع کرنے کے لئے کہتے ہیں۔ یہ ایک بدنصیبی الیکسا مہارت ہے جس کو SRLabs نے پاس ورڈز کو فش کرنے کے ل. تخلیق کیا اور اس میں ترمیم کی ہے۔
اس اپلی کیشن نے خیرمقدم نہیں کیا اور جوابات دیتے ہوئے کہا ، "یہ ہنر فی الحال آپ کے ملک میں دستیاب نہیں ہے۔" اس وقت ، صارف فرض کرے گا کہ ایپ نے سننا چھوڑ دیا ہے ، لیکن واقعتا ایسا نہیں ہے۔ اس کے بجائے ، کردار کی ترتیب کہنے کے لئے مہارت کو ہیک کرلیا گیا ہے جس کا اعلان الیکسہ نہیں کرسکتا ، لہذا اسپیکر جب واقعتا actually رک گیا اور سن رہا ہے تو خاموش رہتا ہے۔
اس کے بعد یہ ہنر ایک فشنگ کہتی ہے ، "آپ کے الیکٹرک ڈیوائس کے لئے ایک نئی تازہ کاری دستیاب ہے۔ براہ کرم اپنے پاس ورڈ کے بعد شروعات کا کہنا ہے۔ "اگرچہ ایمیزون کبھی بھی اس طرح سے پاس ورڈ نہیں مانگتا ہے ، وہ صارفین جو بے خبر ہیں وہ محافظ رہ سکتے ہیں۔
گوگل ہوم مینی اسپیکر پر وائس فشنگ پاس ورڈ کے لئے اسی طرح کا نقطہ نظر استعمال کیا گیا تھا۔
ایمیزون ایکو اور گوگل ہوم اسپیکر کے ذریعہ صارفین پر ایواسپروپنگ
عیاشیوں کے بارے میں ، محققین نے وہی زائچہ ایپ ایمیزون کے سمارٹ اسپیکر کے لئے استعمال کی۔ ایپ صارف کو یہ یقین کرنے کی چال ہے کہ اس کو روک دیا گیا ہے جبکہ وہ خاموشی سے پس منظر میں سنتا ہے۔
گوگل ہوم کے ل the ، ہیک اس سے بھی آسان تھا اور آ ئش ڈراپ کرنے کے ل trigger ٹرگر الفاظ کی وضاحت کرنے کی ضرورت نہیں تھی۔ محققین نوٹ کرتے ہیں کہ اس معاملے میں ، صارف کو ایک لوپ میں ڈال دیا جاتا ہے کیونکہ "آلہ مستقل طور پر ہیکر کے سرور کو صوتی آدان بھیجتا ہے جبکہ درمیان میں خاموشی اختیار کرتا ہے۔"
ایس آر ایل لیبس نے وہ تمام ایپس ختم کردی ہیں جو مذکورہ بالا ویڈیوز میں ڈیموڈ ہیں۔ محققین نے ایمیزون اور گوگل کو بھی اپنی کھوج کی اطلاع دی۔
فی کے طور پر آرس ٹیکنیکا، دونوں کمپنیوں نے یہ کہتے ہوئے جواب دیا کہ وہ اپنی منظوری کے عمل کو تبدیل کررہی ہیں اور مستقبل میں ایسی ہیکس سے بچنے کے لئے اضافی میکانزم اپنا رہی ہیں۔
تاہم ، ایمیزون یا گوگل میں سے کسی کے بارے میں ابھی تک کوئی تازہ کاری نہیں ہے کہ ان معاملات کو کب طے کیا جائے گا۔ یہ جاننے کا کوئی طریقہ بھی نہیں ہے کہ آیا کسی ماہر یا کام نے ماضی میں ان خامیوں کا غلط استعمال کیا۔
