প্রধান টেকওয়ে
- গবেষকরা কিছু ইকো স্মার্ট স্পিকারকে দূষিত নির্দেশাবলীর সাথে যুক্ত অডিও ফাইলগুলি চালানোর জন্য কৌশলে পরিচালনা করেছেন৷
- যন্ত্রগুলি প্রকৃত ব্যবহারকারীদের কাছ থেকে নির্দেশনা হিসাবে ব্যাখ্যা করে, যা হ্যাকারদের নিয়ন্ত্রণ করতে দেয়৷
- হ্যাকাররা তখন হ্যাক করা স্পিকার ব্যবহার করে অন্যান্য স্মার্ট ডিভাইসগুলি দখল করতে পারে এবং এমনকি ব্যবহারকারীদের কাছ থেকে ছিনিয়ে নিতে পারে৷
স্মার্ট ডিভাইসের সাথে তাদের বাড়িতে লাইন দেওয়ার তাড়ার মধ্যে, অনেক ব্যবহারকারী স্মার্ট স্পিকারের দ্বারা সৃষ্ট নিরাপত্তা ঝুঁকি উপেক্ষা করেন, নিরাপত্তা বিশেষজ্ঞদের সতর্ক করেন।
একটি ঘটনা হল কিছু Amazon Echo ডিভাইসে সম্প্রতি প্যাচ করা দুর্বলতা, যেটি ইউনিভার্সিটি অফ লন্ডন এবং ইউনিভার্সিটি অফ ক্যাটানিয়া, ইতালির গবেষকরা নিজেদের হ্যাক করার জন্য এই স্মার্ট স্পিকারগুলিকে অস্ত্র ব্যবহার করতে এবং ব্যবহার করতে সক্ষম হয়েছেন৷
"আমাদের আক্রমণ, আলেক্সা বনাম অ্যালেক্সা (AvA), ইকো ডিভাইসে স্ব-জারি করা স্বেচ্ছাচারী আদেশের দুর্বলতাকে কাজে লাগায়," গবেষকরা উল্লেখ করেছেন। "আমরা যাচাই করেছি যে, AvA-এর মাধ্যমে, আক্রমণকারীরা বাড়ির মধ্যে স্মার্ট যন্ত্রপাতি নিয়ন্ত্রণ করতে পারে, অবাঞ্ছিত আইটেম কিনতে পারে, লিঙ্কযুক্ত ক্যালেন্ডারের সাথে টেম্পার করতে পারে এবং ব্যবহারকারীর কাছ থেকে ছিদ্র করতে পারে।"
ফ্রেন্ডলি ফায়ার
তাদের গবেষণাপত্রে, গবেষকরা স্মার্ট স্পিকারদের অডিও ফাইল চালানোর মাধ্যমে আপস করার প্রক্রিয়াটি প্রদর্শন করেন। একবার আপস করা হলে, ডিভাইসগুলি নিজেদেরকে জাগিয়ে তুলতে পারে এবং দূরবর্তী আক্রমণকারী দ্বারা জারি করা কমান্ডগুলি কার্যকর করা শুরু করতে পারে। গবেষকরা প্রদর্শন করেন যে আক্রমণকারীরা হ্যাক হওয়া ডিভাইসে ডাউনলোড করা অ্যাপ্লিকেশনগুলির সাথে কীভাবে হস্তক্ষেপ করতে পারে, ফোন কল করতে পারে, অ্যামাজনে অর্ডার দিতে পারে এবং আরও অনেক কিছু করতে পারে।
গবেষকরা তৃতীয় এবং চতুর্থ প্রজন্মের ইকো ডট ডিভাইসে আক্রমণের প্রক্রিয়া সফলভাবে পরীক্ষা করেছেন৷
আশ্চর্যজনকভাবে, এই হ্যাকটি দুর্বৃত্ত স্পিকারের উপর নির্ভর করে না, যা আক্রমণের জটিলতাকে আরও কমিয়ে দেয়। তদুপরি, গবেষকরা লক্ষ্য করেন যে শোষণ প্রক্রিয়াটি বরং সহজ৷
AvA শুরু হয় যখন ইকো ডিভাইস একটি অডিও ফাইল স্ট্রিম করা শুরু করে যাতে ভয়েস কমান্ড থাকে যা স্পিকারকে ব্যবহারকারীর দ্বারা জারি করা নিয়মিত কমান্ড হিসাবে গ্রহণ করার জন্য কৌশল করে। এমনকি যদি ডিভাইসটি একটি নির্দিষ্ট ক্রিয়া সম্পাদনের জন্য একটি মাধ্যমিক নিশ্চিতকরণের জন্য জিজ্ঞাসা করে, গবেষকরা একটি সাধারণ "হ্যাঁ" কমান্ডের পরামর্শ দেন প্রায় ছয় সেকেন্ড পরে দূষিত অনুরোধটি সম্মতি কার্যকর করার জন্য যথেষ্ট।
অকেজো দক্ষতা
স্মার্ট স্পিকারকে দূষিত রেকর্ডিং চালানোর জন্য গবেষকরা দুটি আক্রমণের কৌশল দেখান৷
একটিতে, আক্রমণকারীর স্পিকারের ব্লুটুথ-পেয়ারিং রেঞ্জের মধ্যে একটি স্মার্টফোন বা ল্যাপটপ প্রয়োজন।যদিও এই অ্যাটাক ভেক্টরের জন্য প্রাথমিকভাবে স্পিকারের সান্নিধ্যের প্রয়োজন হয়, একবার জোড়া হয়ে গেলে, আক্রমণকারীরা ইচ্ছামতো স্পিকারের সাথে সংযোগ করতে পারে, যা তাদের প্রাথমিক জুড়ি হওয়ার পর যে কোনো সময় প্রকৃত আক্রমণ পরিচালনা করার স্বাধীনতা দেয়।
দ্বিতীয়, সম্পূর্ণ দূরবর্তী আক্রমণে, আক্রমণকারীরা একটি ইন্টারনেট রেডিও স্টেশন ব্যবহার করে ইকোকে দূষিত কমান্ড চালাতে পারে। গবেষকরা নোট করেছেন যে এই পদ্ধতিটি লক্ষ্যযুক্ত ব্যবহারকারীকে ইকোতে একটি দূষিত অ্যালেক্সা দক্ষতা ডাউনলোড করার জন্য প্রতারণার সাথে জড়িত৷
যেকেউ একটি নতুন আলেক্সা দক্ষতা তৈরি এবং প্রকাশ করতে পারে, যা একটি আলেক্সা-সক্ষম ডিভাইসে চালানোর জন্য বিশেষ সুবিধার প্রয়োজন নেই৷ যাইহোক, অ্যামাজন বলেছে যে অ্যালেক্সা স্কিল স্টোরে লাইভ যাওয়ার আগে জমা দেওয়া সমস্ত দক্ষতা যাচাই করা হয়৷
ইভান্তির সিনিয়র প্রোডাক্ট ম্যানেজার টড শেল, লাইফওয়্যারকে ইমেলের মাধ্যমে বলেছিলেন যে AvA আক্রমণ কৌশল তাকে মনে করিয়ে দেয় যে হ্যাকাররা কীভাবে ওয়াইফাই দুর্বলতাকে কাজে লাগাবে যখন এই ডিভাইসগুলি প্রথম চালু করা হয়েছিল, একটি ওয়াইফাই রেডিও দিয়ে আশেপাশের এলাকায় ড্রাইভ করে ওয়্যারলেসে ভাঙার জন্য ডিফল্ট পাসওয়ার্ড ব্যবহার করে অ্যাক্সেস পয়েন্ট (এপি)।একটি AP-এর সাথে আপস করার পরে, আক্রমণকারীরা হয় আরও বিস্তারিত জানার জন্য আশেপাশে খোঁজাখুঁজি করবে অথবা শুধুমাত্র বহির্মুখী আক্রমণ পরিচালনা করবে।
"এই সর্বশেষ [AvA] আক্রমণ কৌশলটির সাথে আমি সবচেয়ে বড় পার্থক্যটি দেখতে পাচ্ছি যে হ্যাকাররা অ্যাক্সেস পাওয়ার পরে, তারা খুব বেশি কাজ ছাড়াই মালিকের ব্যক্তিগত তথ্য ব্যবহার করে দ্রুত অপারেশন পরিচালনা করতে পারে," শেল বলেছেন৷
Schell এভিএ-এর অভিনব আক্রমণ কৌশলের দীর্ঘমেয়াদী প্রভাবের উপর নির্ভর করবে কত দ্রুত আপডেটগুলি বিতরণ করা যেতে পারে, লোকেরা তাদের ডিভাইসগুলি আপডেট করতে কতক্ষণ সময় নেয় এবং কখন আপডেট করা পণ্যগুলি কারখানা থেকে শিপিং শুরু করে।
বৃহত্তর স্কেলে AvA-এর প্রভাব মূল্যায়ন করার জন্য, গবেষকরা 18 জন ব্যবহারকারীর একটি সমীক্ষা গোষ্ঠীর উপর একটি সমীক্ষা পরিচালনা করেছেন, যা দেখিয়েছে যে AvA-এর বিরুদ্ধে বেশিরভাগ সীমাবদ্ধতা, গবেষকরা তাদের গবেষণাপত্রে হাইলাইট করেছেন, খুব কমই ব্যবহার করা হয়েছে অনুশীলনে।
শেল অবাক হয় না। "দৈনন্দিন ভোক্তারা সমস্ত নিরাপত্তা সংক্রান্ত সমস্যা সম্পর্কে আগে থেকে চিন্তা করেন না এবং সাধারণত কার্যকারিতার উপর বিশেষভাবে ফোকাস করেন।"
