Các nhà nghiên cứu bảo mật đã tạo ra một kỹ năng nguy hiểm mới của Alexa – trợ lý ảo bằng giọng nói của Amazon. Đó là trở thành thiết bị nghe lén.
Amazon Echo có thiết kế luôn luôn lắng nghe âm thanh xung quanh. Chiếc loa thông minh này có thể kích hoạt bằng giọng nói để xử lý những khẩu lệnh như mở nhạc, đặt báo thức và trả lời các câu hỏi.
Tuy nhiên thiết bị chỉ có thể kích hoạt khi người dùng nói “Alexa” và tự động trở lại trạng thái “ngủ” sau một khoảng thời gian ngắn. Amazon cũng cho phép các nhà phát triển tùy biến kỹ năng mới cho Alexa, “bộ não” của hàng triệu thiết bị thông minh kích hoạt bằng giọng nói như Amazon Echo Show, Echo Dot và Amazon Tap.
Các nhà nghiên cứu bảo mật tại công ty Checkmarx đã tạo ra kỹ năng mới cho Alexa, bắt thiết bị ghi lại âm thanh xung quanh liên tục nhằm mục đích nghe lén các cuộc trò chuyện, sau đó gửi những tập tin ghi âm lên mạng.
Bằng việc giả mạo kỹ năng này thành ứng dụng máy tính, sau khi cài đặt, người dùng chỉ cần gọi khẩu lệnh “Alexa, mở máy tính” là có thể kích hoạt tính năng nghe lén.
“Sau khi kỹ năng Máy tính được khởi tạo, hàm API\Lambda sẽ kết hợp với khả năng nhận và xử lý các yêu cầu”, các chuyên gia bảo mật cho hay.
Trong video, các nhà chuyên gia nghiên cứu cho thấy khi người dùng mở một phiên làm việc mới với ứng dụng máy tính sẽ tạo ra một phiên làm việc thứ 2 mà không cần sử dụng khẩu lệnh.
Theo thiết kế, Alexa phải kết thúc một phiên làm việc hoặc hỏi người dùng có câu lệnh nào khác không để giữ quá trình tếp tục. Tuy nhiên việc “hack” sẽ cho phép tin tặc giữ lại phiên làm việc thứ 2 để nghe lén người dùng trong khi phiên thứ nhất đóng lại khi không tương tác.
Người dùng vẫn có thể phát hiện việc nghe lén khi thấy đèn báo màu xanh trên thiết bị Echo sáng lên trong thời gian dài dù không ra lệnh với nó.
Công ty bảo mật Checkmarx đã báo cáo vấn đề này với Amazon, đồng thời đưa ra cách giải quyết vấn đề. Hãng sẽ thường xuyên quét các kỹ năng độc hại hoạt động ngầm hoặc nghe trong khoảng thời gian dài bất thường, sau đó xóa chúng khỏi cửa hàng chính thức của mình.
Đây không phải là lần đầu tiên Alexa bị hack. Năm ngoái, một nhóm các nhà nghiên cứu tại MWR InfoSecurity đã cho thấy cách tin tặc có thể biến một số dòng Amazon Echo thành thiết bị nghe lén.
Theo TheHackerNews
