من المُمكن أن تقوم تطبيقاتٌ خارجية مُستضافة على مكبرات الصوت الذكية الخاصة بشركتي جوجل وأمازون بالتنصُّت على المُستخدمين أو التصيُّد للحصول على كلمات المرور الخاصة بهم، وذلك وفقاً لشركة Security Research Labs، وهي شركة استشارية في أمور القرصنة ومقرُّها ألمانيا.
كيف يعرفون إمكانية حصول ذلك؟
صمَّمت هذه الشركة 8 تطبيقات؛ أربعةٌ منها تعمل على أمازون أليكسا والأربعة الاخرى تعمل على جوجل هوم. وقد قامت هذه التطبيقات -خلسةً- بتسجيل جميع المحادثات التي تحدث ضمن مدى سمع الجهاز الذي تم تثبيتُها عليه، ثم أرسلت نسخةً من هذه التسجيلات إلى مُخدِّم مُخصَّص. وقد تنكَّر معظمُها في هيئة تطبيقاتٍ خاصة بتصفُّح الأبراج الفلكية، وفقاً لما ذكره موقع آرس تكنيكا Ars technica.
وفي التطبيقات التي تتنصّت على المُستخدمين، قد يطلب المُستخدم من التطبيق أن يخبرَه بمعلوماتٍ عن أحد الأبراج، فيستجيب التطبيق بالمعلومات المطلوبة ثم يتابع عملَه بصمت، مُعطياً انطباعاً بأنه لم يعدْ يعمل بينما هو في الواقع يتابع مهمَّته في تسجيل الكلام. أما في تطبيقات تصيُّد المعلومات، فإن التطبيق يُظهر رسالة خطأ مُزيفة ويطلب من المُستخدِم إدخال كلمة المرور الخاصة به. وقد نجحت هذه التطبيقات جميعُها بتجاوز إجراءات التدقيق الأمني لكل من جوجل وأمازون، ومع ذلك فقد تم حذفها بعد هذه التجربة. وقد شرح المُطوِّرون كيفية تصميم هذه التطبيقات في منشورِ على الإنترنت، يُمكنك قراءته هنا.
رد فعل الشركتين
أخبرت كلتا الشركتين موقع آرس تكنيكا أنهما تقومان بتعديل عمليات المُصادقة من أجل تمكين منتجاتهما من التصدّي لهذا النوع من الاختراقات. غير أن حصول هذه التطبيقات على المصادقة في المقام الأول هو بحدِّ ذاته دليلٌ على أن شركات التقنية لا تستثمر ما يكفي من الوقت والجهد في عملية تدقيق التطبيقات قبل السماح باستضافتها على منصاتها.
قلقٌ مُتصاعد
من المعروف اليوم أن مكبرات الصوت الذكية تطرح تهديداً للخصوصية؛ حيث إن الموظفين في شركات مثل أمازون وجوجل وآبل يستمعون بشكل روتيني لمقاطع من أجهزة المستخدمين، كما أنه يمكن استخدام الأصوات المسجلة من مكبرات الصوت الذكية في المحاكمات الجنائية. إلا أن كل ذلك لم يؤثِّر على شعبيتها بين الزبائن المُقبلين على شرائها.
لنضع الأمور في سياقها المناسب
ليست هذه المرة الأولى التي يُثبِت فيها القراصنة المعلوماتيون أنه يُمكن تحويل مكبرات الصوت الذكية إلى أجهزة تنصُّت؛ ففي ديسمبر من عام 2018، أثبت باحثان خلال عرضٍ تقديمي في مؤتمر ديفكون أن هذا الأمر ممكنٌ إذ تمكَّن المُخترِق من تشغيل أداة الهجوم على نفس الشبكة اللاسلكية التي تتصل بها المُكبِّرات. غير أن المُميز في هذا الهجوم الأخير هو إظهاره أن المصدر وراء تهديد الخصوصية الذي تطرحه مكبرات الصوت الذكية لا يكمُن فقط في المُصنعِّين، وإنما أيضاً في القراصنة وأدواتهم.