智能音箱也被黑?安全人员发现旧款亚马逊 Echo 存在的漏洞

爱范儿  •  扫码分享

近日,英国安全研究人员 Mark Barnes 展示了入侵亚马逊 Echo 的技术。通过这项技术,任何人都可以在 Echo 上安装恶意软件,并将设备的语音输入发送到远程服务器上。攻击者需要直接接触 Echo ,而且这个方法只适用于 2017 年前的设备,不过,这个漏洞无法修补,攻击者也不会留下任何的证据。

Barnes 利用了旧款 Echo 设备上的一个漏洞。把 Echo 的底座去掉,你会看到设备底部的一些小金属垫。这些金属垫连接着 Echo 内部的硬件,可能是用于测试或修补软件漏洞的。通过其中一个金属垫, Echo 可以读取 SD 卡上的数据。于是, Barnes 利用了上面的两个金属垫,分别连接到电脑和读卡器上。然后,他给 Echo 装上了新的 Bootloader ,关掉了系统的安全机制,并且安装了恶意软件。

智能音箱也被黑?安全人员发现旧款亚马逊 Echo 存在的漏洞

(图片来自  adage )

卸下设备的塑料基座,你就能直接接触到那些金属垫, ” Barnes 对 Wired 网站 说, 你可以制作一个专用设备,直接连接到底座上,那样,你不会留下任何明显的入侵证据了。 在入侵系统后, Barnes 编写了一个简单脚本,可控制系统的语音功能。他表示,恶意软件也可以做出更加恶劣的行为,比如攻击网络的其它设备、盗取用户的账号,或者安装勒索软件。

智能音箱也被黑?安全人员发现旧款亚马逊 Echo 存在的漏洞

(图片来自 zdnet )

新款的 Echo 已经修复了这个问题。但是,旧款 Echo 的漏洞无法通过软件修补。 Barnes 警告说,第三方销售的 Echo 有可能安装了恶意软件,而且,尽量不要在公共场合或者宾馆房间使用 Echo 设备。 在那种情况下,你无法控制接触设备的人, 他说, 曾经住宿的客人可能安装了什么东西,或者是清洁工和其它什么人。

不过,恶意软件无法操控 Echo 上的 静音 按键。 Barnes 说,如果 静音 被开启,他无法通过软件打开语音。对于那些在意隐私的人,他提供了一个简单的解决方案, 把它关掉吧。

题图来自 androidcommunity

本文被转载1次

首发媒体 爱范儿 | 转发媒体

随意打赏

亚马逊alexa echoecho show智能音箱亚马逊echo show亚马逊echo智能音箱亚马逊echo dot亚马逊智能音响echo亚马逊音响 echo亚马逊echo音箱新款echo音箱亚马逊智能音箱
提交建议
微信扫一扫,分享给好友吧。