你以为智能音箱很安全？旧款亚马逊Echo不幸中招

　　导读：在这个万物互联的为智时代，网络安全成为最重要的箱安课题。现在，全旧亚马逊的款亚智能音响Echo也被爆出存在漏洞，通过这个漏洞，马逊任何人都可以在Echo上安装恶意软件。不幸

　　近日，中招英国安全研究人员 Mark Barnes 展示了入侵亚马逊 Echo 的为智技术。通过这项技术，箱安任何人都可以在 Echo 上安装恶意软件，全旧并将设备的款亚语音输入发送到远程服务器上。攻击者需要直接接触 Echo，马逊而且这个方法只适用于 2017 年前的不幸设备，不过，中招这个漏洞无法修补，为智攻击者也不会留下任何的证据。

　　Barnes 利用了旧款 Echo 设备上的一个漏洞。把 Echo 的底座去掉，你会看到设备底部的一些小金属垫。这些金属垫连接着 Echo 内部的硬件，可能是用于测试或修补软件漏洞的。通过其中一个金属垫，Echo 可以读取 SD 卡上的数据。于是，Barnes 利用了上面的两个金属垫，分别连接到电脑和读卡器上。然后，他给 Echo 装上了新的Bootloader，关掉了系统的安全机制，并且安装了恶意软件。
　　(图片来自  adage)

　　“卸下设备的塑料基座，你就能直接接触到那些金属垫，”Barnes对 Wired网站说，“你可以制作一个专用设备，直接连接到底座上，那样，你不会留下任何明显的入侵证据了。” 在入侵系统后，Barnes 编写了一个简单脚本，可控制系统的语音功能。他表示，恶意软件也可以做出更加恶劣的行为，比如攻击网络的其它设备、盗取用户的账号，或者安装勒索软件。
　　(图片来自 zdnet)

　　新款的 Echo 已经修复了这个问题。但是，旧款 Echo 的漏洞无法通过软件修补。Barnes 警告说，第三方销售的 Echo 有可能安装了恶意软件，而且，尽量不要在公共场合或者宾馆房间使用 Echo 设备。“在那种情况下，你无法控制接触设备的人，” 他说，“曾经住宿的客人可能安装了什么东西，或者是清洁工和其它什么人。”

　　不过，恶意软件无法操控 Echo 上的“静音”按键。Barnes 说，如果“静音”被开启，他无法通过软件打开语音。对于那些在意隐私的人，他提供了一个简单的解决方案，“把它关掉吧。”

最新评论