Các nhà nghiên cứu bảo mật đã phát triển một ‘kỹ năng’ độc hại mới cho trợ lý giọng nói phổ biến của Amazon – Alexa, có thể biến Amazon Echo của bạn thành một thiết bị gián điệp chính thức.

Amazon Alexa có thể tiến hành gián điệp người dùng
Amazon Alexa có thể tiến hành gián điệp người dùng

Amazon Echo là một loa thông minh được kích hoạt bằng giọng nói, cho phép người dùng hoàn thành công việc bằng cách sử dụng giọng nói của mình, như chơi nhạc, cài đặt báo thức và trả lời các câu hỏi.

Tuy nhiên, thiết bị không được kích hoạt mọi lúc; thay vào đó, nó ở chế độ ngủ cho đến khi người dùng nói “Alexa” và theo mặc định, nó kết thúc một phiên sau một khoảng thời gian.

Amazon cũng cho phép các nhà phát triển xây dựng các ‘kỹ năng’ tùy chỉnh, ứng dụng cho Alexa. Chúng chính là bộ não đằng sau hàng triệu thiết bị thông minh được kích hoạt bằng giọng nói bao gồm Amazon Echo Show, Echo Dot và Amazon Tap.

Tuy nhiên, các nhà nghiên cứu bảo mật tại công ty an ninh mạng Checkmarx đã tạo ra một kỹ năng voice-driven cho Alexa, cho phép thiết bị ghi lại âm thanh xung quanh vô thời hạn, trong đó bao gồm cả cuộc trò chuyện của người dùng và sau đó gửi bản ghi hoàn chỉnh tới website bên thứ ba.

Kỹ năng độc hại được ngụy trang thành một ứng dụng máy tính đơn giản để giải quyết các vấn đề toán học, nhưng nếu được cài đặt, sẽ ngay lập tức được kích hoạt sau khi người dùng nói “Alexa, mở máy tính”.

Các nhà nghiên cứu cho biết: “Kỹ năng tính toán được khởi tạo, và hàm API\Lambda có liên quan đến kỹ năng nhận được yêu cầu khởi chạy như một đầu vào”.

Trong video miêu tả bên dưới, các nhà nghiên cứu chỉ ra rằng khi người dùng mở một phiên với ứng dụng máy tính (trong nền), thì thiết bị đồng thời cũng tạo ra một phiên thứ hai mà không thông báo cho người dùng biết mặc dù micrô vẫn hoạt động.

Theo thiết kế, Alexa sẽ tự kết thúc một phiên hoặc yêu cầu người dùng cho một lệnh khác để giữ cho phiên mở. Tuy nhiên, việc hack có thể cho phép kẻ tấn công giữ phiên thứ hai hoạt động để gián điệp người dùng và kết thúc phiên đầu tiên, khi tương tác của người dùng bị quá tải.

May mắn thay, bạn vẫn có thể phát hiện ra hành vi “gián điệp” nếu bạn nhận thấy ánh sáng màu xanh trên thiết bị Echo của bạn được kích hoạt trong một thời gian dài hơn, đặc biệt là khi bạn không chat với nó.

Checkmarx đã báo cáo vấn đề này cho Amazon và công ty giải quyết vấn đề này bằng cách thường xuyên quét các kỹ năng độc hại và gỡ chúng ra khỏi cửa hàng chính thức của họ.

Đây không phải là bản hack Alexa đầu tiên được các nhà nghiên cứu chứng minh. Năm ngoái, một nhóm các nhà nghiên cứu riêng biệt tại MWR InfoSecurity cho thấy làm thế nào tin tặc có thể biến một số mô hình của Amazon Echo thành thiết bị nghe ngầm.