دوره کردم ، روزی صد بار اون خنده هاتو
کی گذاشت رفت؟ تو بگو آخه من یا تو
از چی میگن؟ بذار بگن من دیوونم
آسمونِ ، اینجا ابریه اونجا رو نمیدونم
بیا غصه رو پَر پَر کن ، بیا حالمو بهتر کن
بیا دوریتو کمتر کن ، بیا چشمامو کم تر کن
بیا غصه رو پَر پَر کن ، بیا حالمو بهتر کن
بیا دوریتو کمتر کن ، بیا چشمامو کم تر کن
کی مثلِ این دل ، رفت و نکند و
بد کم آورده ، بعدِ دوری از تو
پریدن از رو بومِ تو سخته
دلی که لک زده یه چند وقته
برای مشاهده ادامه متن آهنگ و دانلود آهنگ حتما روی لینک زیر کلیک کنید.
یک سال پس از انتشار اولین گزارشها دربارهی حفرههای امنیتی گوگل و سرویس مشابه ساخت گوگل، آمازون و گوگل هنوز موفق به برطرف کردن این حفرهها نشدهاند.
هکرها میتوانند الکسا و دستیار صوتی هوشمند گوگل را به ابزارهایی برای استراق سمع از کاربران تبدیل کنند یا از طریق نفوذ به آنها، بدون اینکه کاربر متوجه شود، اطلاعات مهم و شخصی او را از خودش دریافت کنند.
این موضوع، مسئلهای تازه نیست. آوریل ۲۰۱۸ بررسیهای موسسهی تحقیقات امنیت شبکهی چکمارکس حفرههای امنیتی مشابهی را روی الکسا شناسایی کرد. این موسسه ماه مه همان سال حفرهای مشابه روی دستیار صوتی گوگل و چند ماه بعد موردی تکراری روی الکسا شناسایی کرد. هرچند آمازون و گوگل ظاهرا این حفرهها را برطرف کردند اما هربار، روشهایی جدیدی برای عبور از لایههای امنیتی آنها کشف شد.
آخرین مورد از این روشهای جدید، توسط لوییس فریش و فابین برونلین، دو محقق موسسهی تحقیقات امنیت شبکهی SRlabs کشف شده است. نتایج تحقیقات این دو محقق که در اختیار خبرگزاری ZDent قرار گرفته، نشان میدهد بکاندهایی که گوگل و آمازون برای شخصیسازی دستیار صوتی گوگل و الکسا در اختیار توسعهدهندگان قرار میدهد، مسیر اصلی برای انجام فیشینگ یا استراق سمع است.
این بکاندها دسترسی توسعهدهندگان به توابع موردنیازشان برای شخصیسازی نحوهی پاسخ دستیار صوتی به فرامین را فراهم میکنند. محققان موسسهی SRIabs کشف کردهاند که با درج کارکتر . » (U+D801, dot, space) در بخشهای مختلفی از بکاند یک اپلیکیشن عادی الکسا یا دستیار صوتی گوگل میتوان در زمان فعال بودن این دستیار صوتی، آن را وادار کرد مدت زمان زیادی، واکنشی نشان ندهد.
روش کار هکرها به این صورت است که ابتدا کاری میکنند کاربر فکر کند یکی از اپلیکیشنها مشکلی دارد، بعد از آن . » را وارد بکاند کنند و باعث شوند دستیار صوتی درحالی که کار میکند، پاسخی به فرمانها ندهد و بعد از چند دقیقه یک پیغام فیشینگ برای کاربر ارسال کنند. در این شرایط کاربر تصور نمیکند که پیغام فیشینگ ارتباطی با اپلیکیشن قبلی داشته باشد.
تیم تحقیقاتی موسسهی STLabs اعلام کرده، حدود یک سال پیش این حفرههای امنیتی را به شرکتهای سازندهی این دستیارها گزارش داده اما آنها هنوز موفق نشدهاند مشکل را برطرف کنند.
آمازون به درخواست ZDnet برای اظهار نظر در اینباره پاسخی نداده است.
یک سخنگوی گوگل دربارهی این مسئله اعلام کرد:
تمام فعالیتهایی که در گوگل انجام میشوند، باید از تهای توسعهدهندگان ما پیروی کنند و ما تضمین میکنیم مقابل هر فعالیتی که این تها را نقض کنند خواهیم ایستاد. ما گزارشهای دریافتی در اینباره را بررسی و موارد ناقض قوانین را حذف کردیم. گوگل مکانیزمهایی برای جلوگیری از تکرار این اتفاقها در آینده ایجاد کرده است.
گوگل همچنین اعلام کرده، دستیار صوتی گوگل هرگز از کاربران خود رمز عبوری درخواست نخواهد کرد و بخش امنیتی این شرکت در حال بررسی اپلیکیشنهای تولیدشده توسط شرکتهای دیگر است.
منبع :