فناوری

هک آمازون اکو شو و جایزه ۶۰ هزار دلاری

دو محقق در حوزه امنیت توانستند اکسپلویتی در آمازون اکو شو قرار دهند و  آن را در مسابقه هک «Pwn2Own» ارائه دادند و برنده جایزه ۶۰ هزار دلاری این مسابقه شدند. این دو محقق پس از توسعه چند اکسپلویت قوی موفق گردیدند که کنترل کل آمازون اکو شو را در اختیار داشته باشند.

هک آمازون اکو شو

آمات ساما (Amat Cama) و ریچارد ژو (Richard Zhu) که نام تیم دو نفره خود را فلوئوراستات گذاشتند، متوجه شدند که آمازون اکو شو ۵ از نسخه قدیمی کرومیوم استفاده کرده است که چند باگ و حفره امنیتی این کرومیوم دارد. آنها سپس چند اکسپلویت بر پایه «سر ریزی عدد صحیح» به این دستگاه وارد کردند و موفق شدند کنترل کل دستگاه را در اختیار خود درآورند.

 

آمات ساما (Amat Cama) و ریچارد ژو (Richard Zhu) | هک آمازون اکو شو
آمات ساما (Amat Cama) و ریچارد ژو (Richard Zhu) | هک آمازون اکو شو

 

اگر آمازون اکو شو به یک هات اسپات وای فای آلوده متصل گردد، حفره امنیتی موجود در کرومیوم و اکسپلویت توسعه داده شده توسط این تیم، کنترل دستگاه را در اختیار هکرها به طور کامل قرار می‌دهد. علاوه بر این،  تیم دو نفره آمات و ریچارد دستگاه خود را داخل یک محفظه قرار دادند تا دیگر فرکانس‌ های رادیویی بر روی دستگاهشان تاثیری نگذارد.

روش کار این اکسپلویت چطور میباشد؟

زمانی باگ سر ریز عدد صحیح، اتفاق می‌افتد که یک عملگر ریاضیاتی بخواهد عددی را ایجاد کند  ولی فضای کافی برای آن را نداشته باشد. در نتیجه عدد ایجاد شده ، از حافظه ای که به آن تخصیص داده شده  است  سر ریز میکند و باعث در خطر افتادن دستگاه و آسیب‌پذیری آن میگردد. زمانی که از آمازون در این رابطه سوال پرسیده شد، آن‌ها گفتند:

ما در حال بررسی روی نتایج این تحقیق میباشیم و مراحل مربوطه و لازم را برای امنیت و حفاظت از دستگاه را طی خواهیم کرد.

همچنین چند وقت پیش گروهی از هکر‌ها قصد این را داشتند پورتال فیسبوک را هک کنند اما موفق به این کار نشدند.اما آمازون  زمان احتمالی و راه‌ حل برای برطرف کردن این حفره امنیتی را مشخص نکرده است و از آن تا به حال خودداری کرده است. به نظر میرسد این حفره امنیتی در تمامی دستگاه‌های IoT نیز وجود دارد و فقط محدود به آمازون اکو شو نیست و اگر این موضوع صحت داشته باشد مشکل کمی بزرگتر دیگر به نظر خواهد رسید.

در هر صورت گجت آمازون تنها دستگاهی نیست که  هکر‌ها قصد ورود به آن را داشته‌اند و احتمالا آخرین دستگاه هم نمیباشد.

منبع : techcrunch

برچسب ها
مشاهده بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
بستن