Petr Škuta Ddim mor bell yn ôl, bu sgandal ar y Rhyngrwyd ynghylch clustfeinio defnyddwyr. Chwaraeodd siaradwyr craff o Amazon a Google ran flaenllaw. Nawr mae'n ymddangos y gall llawer o apiau trydydd parti wneud hyd yn oed mwy.
Mae siaradwyr craff o Amazon a Google yn wahanol i Apple HomePod unwaith swyddogaeth hanfodol. Maent yn caniatáu i gymwysiadau trydydd parti ddefnyddio caledwedd y ddyfais. Felly mae peirianwyr meddalwedd y ddau gwmni yn wynebu brwydr ddiddiwedd gyda hacwyr, sydd bob amser un cam ar y blaen.
Rhannodd arbenigwyr diogelwch gyda'r gweinydd ZDNet am eu canfyddiadau. Mae'r ymosodiad cyfan ar y defnyddiwr yn cynnwys defnyddio bwlch syml yng ngweithrediad system weithredu'r siaradwr gyda meicroffon adeiledig.
Mae hyn oherwydd bod gan gymwysiadau trydydd parti y gallu i gyrchu meicroffon y siaradwr am gyfnod cyfyngedig yn unig. Fodd bynnag, mae opsiwn i ymestyn yr amser hwn rhag ofn nad oedd yn bosibl deall gorchymyn y defnyddiwr. A dyma'r union lwybr y mae hacwyr yn ei ddefnyddio.
Digwyddodd gwall cysylltu. Rhowch gyfrinair eich Cyfrif Google
Mae ymddygiad safonol y cais yn cyfateb yn fras i'r sefyllfa ganlynol:
Gofynnaf i Alexa ychwanegu eitemau at fy nghert siopa app o siop gadwyn. Mae'r cais yn gwirio hanes yr archeb i gymharu paramedrau'r nwyddau ac yna'n gofyn i mi am gadarnhad. Ar yr un pryd, mae'n actifadu'r meicroffon ac yn aros am ateb ie neu na. Os nad ydw i'n ateb, mae'r meicroffon yn diffodd ar ôl ychydig eiliadau.
Fodd bynnag, mae yna ffordd i osgoi mud y meicroffon. Gellir cyflawni hyn gyda llinyn testun arbennig "�. ” wedi'i ysgrifennu yn y cod cais. Gall hyn gynyddu amser actifadu meicroffon yn hawdd o ychydig eiliadau i lawer hirach. Gall y rhaglen felly glustfeinio ar y defnyddiwr drwy'r amser.
Mae'r ail opsiwn hyd yn oed yn fwy llechwraidd. Gellir defnyddio'r llinyn a'i osod hyd yn oed ar gyfer prosesu cyfarwyddyd sain. Yn dilyn hynny, gall y cais gael ei orfodi i ofyn am gyfrinair i, er enghraifft, cyfrif Amazon neu Google. Mae'r fideos isod yn dangos y broses gyfan yn glir.
Gallai fod o ddiddordeb i chi
David Hanak Yn y cyfamser, nid yw Apple yn caniatáu i apiau trydydd parti gyrchu meicroffon HomePod yn uniongyrchol, ac mae'n debyg na fydd byth i'r un graddau ag Amazon a Google. Rhaid i bob datblygwr ddefnyddio API arbennig sy'n trin llais. Mae ei ddefnyddwyr yn ddiogel am y tro.
