عيوب تقنية فى Alexa تسرب المعلومات الشخصية
تعتبر المهمة الأساسية ل Alexa هى انها المساعد الرقمى لشركة أمازون ولكن حدث ما لم يكن متوقع من هذا المساعد .
خطأ تقنى فادح يجعل بيانات المستخدمين غير محمية بالمرة فهل سيتمكن أحد الهاكرز من أستغلال هذه الثغرة الأمنينه للوصول لبيانات المستخدمين .
كان المساعد الذكي Alexa ، الموجود في أجهزة مثل Amazon Echo و Echo Dot ، عرضة للمهاجمين الذين يبحثون عن معلومات التعريف الشخصية (PII) والتسجيلات الصوتية.
قال (Check Point):
إن مشكلات الأمان ناتجة عن نطاقات Amazon Alexa الفرعية المعرضة للتهيئة الخاطئة لهجمات المشاركة عبر الموارد (CORS) وهجمات البرمجة النصية عبر المواقع (XSS).
حدد باحثو Check Point الثغرة الأمنية من خلال إجراء اختبارات باستخدام تطبيق Amazon Voice Assistant ووجدوا أن العديد من الطلبات التي قدمها التطبيق لها سياسة تعريف خطأ تسمح بإرسال الطلبات.
شاهد أيضا : أمازون تحدث تطبيق Amazon Alexa
من أي نطاق فرعي من Amazon. يسمح هذا للمهاجمين الذين لديهم إمكانات حقن التعليمات البرمجية في مجال فرعي واحد بتنفيذ هجوم عبر المجال على نطاق فرعي آخر من Alexa Amazon .
كدليل على المفهوم ، استغل الباحثون عيبًا في أحد نطاقات Amazon الفرعية للاستفادة من ملفات تعريف الارتباط التي تم تكوينها بشكل غير صحيح وسياسة تعديل حساب Alexa.
لقد صمموا روابط توجه الضحايا الوهميين إلى (track.amazon.com) ،
والتي يمكن للباحثين من خلالها إرسال طلبات تحتوي على ملفات تعريف الارتباط للضحايا إلى عنوان موقع ويب يعرض قوائم بالتطبيقات الصوتية المثبتة عليهم. حسابات أليكسا الضحايا.
استخدم الباحثون بعد ذلك رمزًا مميزًا لإزالة تطبيق شائع من القوائم وتثبيت تطبيق ضار من خلال نفس عبارة المرور للتطبيق المحذوف.
بهذه الطريقة ، يقوم الضحايا الذين يستخدمون عبارة التنبيه عن غير قصد بتنفيذ تطبيق المهاجم الضار.
أثناء الاختبار ، وجدت Check Point أن أرقام الهواتف وعناوين المنازل وأسماء المستخدمين والتفاصيل المصرفية يمكن أن تُسرق نظريًا.
لا تسجل Amazon اتصالات البنك ، ولكن يتم تسجيل تفاعلات المستخدم. ومع ذلك ، يقوم Alexa بسرعة باسترداد المعلومات المصرفية من السجلات.
قال متحدث باسم أمازون في بيان “أمان أجهزتنا هو أولوية قصوى ونحن نقدر عمل الباحثين المستقلين ، مثل Check Point ، الذين يظهرون لنا المشاكل المحتملة”.
وأضاف: “لقد تناولنا هذه المشكلة بعد فترة وجيزة من لفت انتباهنا إلى هذا الأمر ، ونواصل تقوية أنظمتنا ، ولا علم لنا بأي حالات تم استغلال هذه الثغرة الأمنية ضدها.
عملائنا أو الإفصاح عن معلومات العملاء “. كتب الباحثون في تدوينة:
يتم استخدام المساعدين الافتراضيين في المنازل الذكية للتحكم في أجهزة إنترنت الأشياء اليومية مثل :
المصابيح ومكيفات الهواء والمكانس الكهربائية والكهرباء والترفيه وشعبيتها نمت خلال العقد الماضي لتلعب دورًا في حياتنا اليومية ، ويبدو أنه مع تطور التكنولوجيا ستصبح أكثر انتشارًا. .
“نظرًا لأن المساعدين الظاهريين يعملون اليوم كنقاط دخول إلى الأجهزة المنزلية للأفراد وأجهزة التحكم في الأجهزة ، فقد أصبح تأمين هذه النقاط أمرًا ضروريًا ، مع الحفاظ على خصوصية المستخدم كأولوية قصوى.”
اضافوا : وجدت دراسة أجراها باحثون في كلية الحوسبة بجامعة كليمسون أن سياسات الخصوصية لتطبيق Amazon Alexa ومساعد Google غالبًا ما تكون إشكالية وتنتهك المتطلبات الأساسية.