النتائج 1 إلى 3 من 3
الموضوع:

خلل في أليكسا يكشف عن المعلومات الشخصية

الزوار من محركات البحث: 0 المشاهدات : 107 الردود: 2
جميع روابطنا، مشاركاتنا، صورنا متاحة للزوار دون الحاجة إلى التسجيل ، الابلاغ عن انتهاك - Report a violation
  1. #1
    Ŀệġệńď
    اسہٰطہٰورة حہٰرفہٰ
    تاريخ التسجيل: March-2020
    الدولة: البـصرـةة
    الجنس: ذكر
    المشاركات: 68,402 المواضيع: 19,934
    صوتيات: 249 سوالف عراقية: 0
    التقييم: 48769
    موبايلي: HUAWEI Y9s

    خلل في أليكسا يكشف عن المعلومات الشخصية

    يمكن استغلال المساعد الصوتي أليكسا (Alexa) من شركة أمازون لتسليم بيانات المستخدم بسبب الثغرات الأمنية في المجالات الفرعية للخدمة.
    وكان المساعد الذكي، الموجود في أجهزة، مثل (Amazon Echo) و (Echo Dot)، عرضة للمهاجمين الذين يبحثون عن معلومات التعريف الشخصية للمستخدم (PII) والتسجيلات الصوتية.
    وقالت (Check Point): إن المشكلات الأمنية سببها نطاقات أمازون أليكسا الفرعية المعرضة للإعداد بشكل خطأ لمشاركة الموارد عبر المنشأ (CORS) وهجمات البرمجة النصية عبر المواقع (XSS).
    وحدد باحثو (Check Point) الثغرة الأمنية من خلال إجراء اختبارات باستخدام تطبيق مساعد أمازون الصوتي، ووجدوا أن العديد من الطلبات التي قدمها التطبيق بها سياسة إعداد خطأ تسمح بإرسال الطلبات من أي نطاق فرعي من أمازون.
    ويسمح هذا الأمر للمهاجمين الذين لديهم إمكانات حقن التعليمات البرمجية ضمن نطاق فرعي واحد بتنفيذ هجوم عبر المجالات على نطاق فرعي آخر من أمازون.
    وكدليل على المفهوم، استغل الباحثون الخلل في أحد نطاقات أمازون الفرعية للاستفادة من ملفات تعريف الارتباط والسياسة التي تمت تهيئتها بشكل خطأ لإجراء تعديلات على حسابات أليكسا.
    وصمموا روابط وجهت الضحايا الوهميين إلى (track.amazon.com)، والذي يمكن للباحثين من خلاله إرسال طلبات تحتوي على ملفات تعريف الارتباط الخاصة بالضحايا إلى عنوان موقع يعرض قوائم بالتطبيقات الصوتية المثبتة على حسابات أليكسا الخاصة بالضحايا.
    واستخدم الباحثون بعد ذلك رمزًا مميزًا لإزالة تطبيق شائع من القوائم وتثبيت تطبيق ضار عبر عبارة التنشيط نفسها للتطبيق المحذوف.
    وبهذه الطريقة، فإن الضحايا الذين يستخدمون عبارة التنشيط يشغلون عن غير قصد تطبيق المهاجم الضار.
    ووجدت (Check Point) أثناء الاختبارات أن أرقام الهواتف وعناوين المنازل وأسماء المستخدمين وسجل البيانات المصرفية يمكن أن تتم سرقتها نظريًا.
    ولا تسجل أمازون بيانات تسجيل الدخول المصرفي، لكن يتم تسجيل تفاعلات المستخدم، ومع ذلك، فإن أليكسا ينقح المعلومات المصرفية بشكل سريع في السجلات.
    وقال متحدث باسم أمازون في بيان: يعتبر أمان أجهزتنا أولوية قصوى، ونحن نقدر عمل الباحثين المستقلين، مثل (Check Point)، الذين يظهرون لنا مشكلات محتملة.
    وأضاف “لقد أصلحنا هذه المشكلة بعد فترة وجيزة من لفت انتباهنا إليها، ونواصل تعزيز أنظمتنا، ولسنا على علم بوجود أي حالات استغلال لهذه الثغرة الأمنية ضد عملائنا أو الكشف عن أي معلومات خاصة بالعميل”.
    وكتب الباحثون في تدوينة: يتم استخدام المساعدين الافتراضيين في المنازل الذكية للتحكم في أجهزة إنترنت الأشياء اليومية، مثل المصابيح ومكيفات الهواء والمكانس الكهربائية والكهرباء والترفيه، وقد نمت شعبيتها في العقد الماضي لتلعب دورًا في حياتنا اليومية، ويبدو أنه مع تطور التكنولوجيا، فإنها ستصبح أكثر انتشارًا.
    وأضافوا “بالنظر إلى أن المساعدين الافتراضيين يعملون اليوم كنقاط دخول إلى الأجهزة المنزلية للأفراد وأجهزة التحكم في الأجهزة، فقد أصبح تأمين هذه النقاط أمرًا بالغ الأهمية، مع الحفاظ على خصوصية المستخدم كأولوية قصوى”.
    ووجدت دراسة أجراها باحثو كلية الحوسبة بجامعة كليمسون أن سياسات خصوصية تطبيق أمازون أليكسا ومساعد جوجل غالبًا ما تكون إشكالية وتنتهك المتطلبات الأساسية.

  2. #2
    من المشرفين القدامى
    عاشق الملكي
    تاريخ التسجيل: July-2013
    الدولة: العراق _ذي قار _ ناحية الفهود
    الجنس: ذكر
    المشاركات: 143,817 المواضيع: 21,897
    صوتيات: 2305 سوالف عراقية: 12
    التقييم: 65969
    مزاجي: الحمد لله
    أكلتي المفضلة: السمك المسكوف
    موبايلي: الترا 23
    آخر نشاط: منذ 18 ساعات
    شكرا نور

  3. #3
    Ŀệġệńď
    اسہٰطہٰورة حہٰرفہٰ
    نورت ورد

تم تطوير موقع درر العراق بواسطة Samer

قوانين المنتديات العامة

Google+

متصفح Chrome هو الأفضل لتصفح الانترنت في الجوال