सार्वजनिक क्रॉसवॉक में ऑडियो एन्हांसमेंट फीचर आम तौर पर वॉक लाइट के सक्रिय होने पर पैदल चलने वालों को सचेत करने के लिए सूचनाएं प्रदान करके नेत्रहीन रूप से बिगड़ा हुआ सहायता करने के लिए होता है।
लेकिन बुधवार को सिएटल के आसपास कई चौराहों पर, लोगों का स्वागत किया गया जेफ बेजोस की तरह आवाज के साथ।
“यह क्रॉसवॉक अमेज़ॅन प्राइम द्वारा प्रायोजित है, एक महत्वपूर्ण संदेश के साथ – कृपया, अमीर पर कर न दें, अन्यथा अन्य सभी अरबपति फ्लोरिडा में भी चले जाएंगे,” आवाज ने कहा।
यह की ऊँची एड़ी के जूते पर आता है रिपोर्टों मेटा के सीईओ मार्क जुकरबर्ग और टेस्ला के सीईओ एलोन मस्क की तरह आवाज़ों के साथ इसी तरह की घटनाओं के खाड़ी क्षेत्र में से समान रूप से अभेद्य संदेश दिया।
यहां दो हैक चल रहे हैं। एक एआई का उपयोग यह है कि वे खुद को वितरित नहीं करने वाले संदेशों को वितरित करने के लिए प्रसिद्ध आंकड़ों के स्पूफ ऑडियो बनाने के लिए उपयोग करें। अन्य हैक को उस स्पूफेड ऑडियो को खेलने के लिए क्रॉसवॉक बटन मिल रहा है।
इन दिनों एआई-जनित स्पूफ के आसपास बहुत चिंता और चर्चा है: इस हैक का वह पहलू यह सब आश्चर्यजनक नहीं है। यह विचार कि स्पूफेड लोग वास्तव में इन संदेशों को वितरित कर रहे हैं, यह पर्याप्त रूप से बाहर है कि लगभग कोई भी नहीं सोचता कि संदेश वैध हैं।
एक साथ लिया गया, ये बिंदु इस हैक को दुर्भावनापूर्ण, खतरे की तुलना में अधिक उपद्रव से अधिक शरारती बनाते हैं।
लेकिन इन हैक के पीछे के लोगों को क्रॉसवॉक बटन के ऑडियो पर उस ऑडियो को कैसे मिला? यह कुछ अपेक्षाकृत नया और अलग है और समझदारी से चिंता का कारण बन सकता है।
चूंकि क्रॉसवॉक ट्रैफिक सेफ्टी इन्फ्रास्ट्रक्चर का हिस्सा हैं और हमारे पास महत्वपूर्ण बुनियादी ढांचे के खिलाफ हमलों के आसपास वर्षों की चिंताएं हैं, इसलिए लोगों के लिए यह चिंतित होना उचित है कि यह हैक बहुत अधिक गंभीर है और (या हो सकता है) दुर्भावनापूर्ण और खतरा हो सकता है।
ए YouTube वीडियो यह दिखाते हुए कि इस तरह की हैक को कैसे आगे बढ़ाया जाए, यह स्पष्ट करता है कि एक बहुत ही परिचित समस्या यह सक्षम कर सकती है: क्रॉसवॉक बटन डिवाइस पर अपरिवर्तित डिफ़ॉल्ट क्रेडेंशियल्स को छोड़कर। वास्तव में, उस वीडियो नोट के रूप में, आप आसानी से एक ऐप डाउनलोड कर सकते हैं और ऑडियो को बदलने के लिए क्रॉसवॉक बटन डिवाइस से कनेक्ट कर सकते हैं यदि आप उस डिवाइस के लिए क्रेडेंशियल जानते हैं।
यह पूरी तरह से स्पष्ट नहीं है कि सिएटल या बे एरिया में हैक कैसे किया गया था। लेकिन मान लें कि यह ऊपर दिए गए वीडियो में दिखाया गया है।
यह हमें कुछ महत्वपूर्ण बातें बताता है। सबसे पहले, कि “क्रॉसवॉक बटन सिस्टम” या “ट्रैफिक सेफ्टी इन्फ्रास्ट्रक्चर सिस्टम” का कोई व्यापक हैक नहीं है। इसके बजाय, यह क्रॉसवॉक बटन उपकरणों के खिलाफ हैक्स की एक श्रृंखला है जो एक-एक बार हो रही है।
दूसरा, यह हमें बताता है कि हमलावर इन उपकरणों पर ऑडियो के अलावा कुछ भी समझौता नहीं कर रहे हैं। यह एक परिष्कृत हमला नहीं है जैसे सोलरविंड हमले या रैंसमवेयर हमले: हमलावर अन्य, अधिक हानिकारक हमलों को करने के लिए इन समझौता किए गए उपकरणों को पिवट करने नहीं जा रहे हैं। समझौता केवल ऑडियो संदेश के साथ शुरू और समाप्त होता है।
अंत में, क्योंकि यह हमला अनिवार्य रूप से एक संदेश को दूसरे संदेश के साथ बदलने से ज्यादा कुछ नहीं है, पुनर्प्राप्ति सरल है (हालांकि एक परेशानी): एक तकनीशियन को हैक किए गए संदेश को एक आधिकारिक संदेश के साथ बदलने के लिए भेजें।
अंतर्निहित समस्या एक परिचित है। वास्तव में, यह एक ही समस्या है मैं लिखा 2019 के बारे में जो अमेज़ॅन रिंग डिवाइसेस के खिलाफ हैक्स की एक श्रृंखला के पीछे था: असुरक्षित डिफ़ॉल्ट क्रेडेंशियल्स।
और यह पता चला है कि खराब डिफ़ॉल्ट क्रेडेंशियल्स थे कारण पिछले दशक की शुरुआत में यातायात सुरक्षा प्रणालियों के खिलाफ हमलों का एक और हिस्सा। इसके बाद हमने ज़ोंबी हमलों के बारे में लोगों को “चेतावनी” देने के लिए सड़क निर्माण संदेश संकेतों को बदलने के लिए हैक की एक श्रृंखला देखी।
तो हम इन सब को अब क्यों देख रहे हैं? क्या इसका मतलब यह है कि एक समन्वित अभियान है?
नहीं वाकई में नहीं। इसका मतलब है कि एक “बैंडवागन” प्रभाव है: लोग ऐसा करते हुए देखते हैं, सोचते हैं कि यह साफ है और सूट का पालन करने का फैसला करता है। सॉरी सिएटल, इसका मतलब है कि बे एरिया इस बार पहले था।
हैक के अपने स्वयं के फड्स और ट्रेंड हैं, और यह उन ट्रैफिक साइन हैक की तरह ही एक और ट्रेंडी हैक है जो आए और चले गए।
एक और कारण यह है कि यह फीका होगा डिफेंडर (यानी यातायात विभाग) अब महसूस करते हैं कि हमलावर इस कमजोरी के बारे में जानते हैं, और वे इसे संबोधित करने के लिए चले जाएंगे। संभवतः, ट्रैफ़िक विभाग परिवर्तित उपकरणों को ठीक करने और पासवर्ड को बदलने के लिए क्रू को भेजेंगे, जैसा कि वे ऐसा करते हैं। आप यह भी शर्त लगा सकते हैं कि ट्रैफ़िक विभाग उन उपकरणों पर डिफ़ॉल्ट क्रेडेंशियल्स बदलने के लिए काम करेंगे जो अभी तक प्रभावित नहीं हैं। और नगरपालिकाएं जिन्होंने इस गतिविधि को नहीं देखा है, उन्हें लगातार जाँच और परिवर्तन करना होगा।
यह कहना नहीं है कि यह हैक पूरी तरह से हानिरहित है: यह क्रॉसवॉक बटन के लिए ऑडियो संदेश को बदलकर कुछ खतरे का प्रतिनिधित्व करता है। यह उन संदेशों पर भरोसा करने वालों को प्रभावित कर सकता है। लेकिन संदेश को स्पष्ट रूप से इस तरह से बदल दिया गया है कि ज्यादातर लोग समझेंगे कि यह सही तरीके से काम नहीं कर रहा है। तो कुल मिलाकर, क्रॉसवॉक बटन ऑडियो हैक भी आम तौर पर “दुर्भावनापूर्ण खतरे” श्रेणी की तुलना में “शरारती उपद्रव” में अधिक आता है।
यदि आप लंबे समय से सुरक्षा में हैं, तो आप इस तरह की घटनाओं को देखते हैं और वर्षों से आते हैं। वे हमेशा एक निश्चित अनुमानित प्रक्षेपवक्र का पालन करते हैं। आप इन हैक के कुछ और दिनों और हफ्तों की उम्मीद कर सकते हैं और फिर यह ज्यादातर चला जाएगा।
लेकिन यह एक अच्छे उद्देश्य की सेवा करता है: यह एक कमजोरी को उजागर करता है जो दूसरों के हाथों में बहुत अधिक दुर्भावनापूर्ण तरीके से इस्तेमाल किया जा सकता था। इस तरह से क्रॉसवॉक बटन में डिफ़ॉल्ट क्रेडेंशियल्स के जोखिमों को उजागर करके, यह भविष्य में अधिक नुकसान को रोकने में मदद कर सकता है।
