"Alexa, Beni gözetliyor musun?" - Aaaa ..... Mmmm ..... Hmmm ..... Belki !!!

Güvenlik araştırmacıları Amazon'un popüler ses asistanı Alexa için Amazon Echo'yu tam teşekküllü bir casusluk cihazına dönüştürebilen yeni bir 'beceri' geliştirdi.

Amazon Echo, müziği çalmak, alarmları ayarlamak ve soruları yanıtlamak gibi sesinizi kullanarak işlerinizi yapmanıza olanak veren,  ses aktif akıllı ev hoparlörüdür.

Bununla birlikte, cihaz her zaman aktif kalmaz; bunun yerine, kullanıcı "Alexa" yazana kadar uyur ve varsayılan olarak, bir süre sonra bir oturumu sonlandırır.

Amazon ayrıca geliştiricilerin Amazon Echo Show, Echo Dot ve Amazon Tap gibi milyonlarca sesle çalışan akıllı cihazın arkasındaki beyin olan Alexa için özel 'beceriler' uygulamaları geliştirmelerine de izin veriyor.

Bununla birlikte, siber güvenlik firması Checkmarx'taki güvenlik araştırmacıları, Alexa için, kullanıcıların konuşmaları hakkında gizlice sesleri kaydetmeye zorlayan ve daha sonra üçüncü tarafa eksiksiz transkriptleri gönderen, Alexa için bir kavram-kanıt ses-güdümlü 'beceri' yarattı.

Matematik problemlerini çözmek için basit bir hesap makinesi olarak gizlenmiş, eğer yüklüyse, kötü niyetli bir beceri hemen bir kullanıcı "Alexa, açık hesap makinesi" yazdıktan sonra arka planda aktif hale gelir.
 

"Hesap beceri başlatılır ve beceri ile ilişkili Lambda fonksiyonu \ API girdi olarak bir fırlatma isteği aldığında"  

video sunumunda, araştırmacılar, bir kullanıcı hesap makinesi uygulamasıyla (arka planda) bir oturum açtıklarında, kullanıcının sözel olarak mikrofonu hala aktif olduğunu belirten sözsüz olarak ikinci bir oturum oluşturduğunu göstermektedir.

Tasarım gereği, Alexa bir oturumu sonlandırmalı veya kullanıcıyı oturumu açık tutmak için başka bir komut istemelidir. Ancak, bilgisayar korsanları, saldırganların ikinci oturumu, kullanıcı etkileşimi aşıldığında ilkini sonlandırırken, kullanıcı üzerinde casusluk yapmak için aktif tutmasına izin verebilir.

Neyse ki, Echo cihazınızdaki mavi ışığın daha uzun bir süre aktif olduğunu fark ederseniz, özellikle de onunla sohbet etmediğinizde casusluk kırmızıyı fark edebilirsiniz.

Checkmarx, bu durumu Amazon'a bildirdi ve şirket, "sessiz istemleri ya da sıra dışı süreleri dinleyen" kötü niyetli becerileri düzenli olarak tarayarak ve onları resmi mağazasından attırarak sorunu çözdü.

Araştırmacılar tarafından gösterilen ilk hack Alexa değil. Geçen yıl, MWR InfoSecurity'de ayrı bir grup araştırmacı, bilgisayar korsanlarının Amazon’un  bazı modellerini gizli dinleme cihazına nasıl dönüştürebildiğini gösterdi .