老款亞馬遜Echo音箱存漏洞 可被黑成竊聽(tīng)器

責(zé)任編輯:editor006

作者:樂(lè)學(xué)編譯

2017-08-03 17:05:39

摘自:騰訊科技

黑客必須要能夠接觸到實(shí)體的Echo音箱,并神不知鬼不覺(jué)地做一些手腳,然后才能遠(yuǎn)程控制它。被竊聽(tīng)的音頻可以在遠(yuǎn)程設(shè)備上進(jìn)行播放,從而讓研究人員監(jiān)聽(tīng)被黑Echo音箱周?chē)l(fā)生的任何談話。

據(jù)外媒報(bào)道,信息安全公司MWR InfoSecurity的研發(fā)人員發(fā)現(xiàn),老款亞馬遜Echo智能音箱中存在一個(gè)安全漏洞,黑客可以利用它將Echo音箱變成竊聽(tīng)器,而又不影響它的整體功效。

但是,黑客必須要能夠接觸到實(shí)體的Echo音箱,并神不知鬼不覺(jué)地做一些手腳,然后才能遠(yuǎn)程控制它。

Echo音箱有兩個(gè)設(shè)計(jì):音箱底部的調(diào)試裝置和硬件參數(shù)設(shè)置。它們可以讓Echo音箱通過(guò)外部SD卡來(lái)啟動(dòng),并讓攻擊者訪問(wèn)Linux操作系統(tǒng)中root最高權(quán)限用戶(hù)的shell命令,從而進(jìn)行攻擊活動(dòng)。

拆下亞馬遜Echo音箱底部的橡膠墊,安全研究人員就可以看到18個(gè)調(diào)試裝置。利用這些調(diào)試裝置,他們可以通過(guò)外部SD卡直接啟動(dòng)到音箱固件,然后安裝惡意程序,并能夠調(diào)用root最高權(quán)限用戶(hù)的shell命令,開(kāi)啟“始終在監(jiān)聽(tīng)中”的麥克風(fēng)。

“如果你是攻擊者,你只需要?jiǎng)右恍┦帜_就能夠以最高權(quán)限用戶(hù)的身份來(lái)訪問(wèn)整個(gè)操作系統(tǒng)。” MWR InfoSecurity公司的安全顧問(wèn)馬克-巴尼斯(Mark Barnes)說(shuō)。

所有這些操作過(guò)程不會(huì)留下任何痕跡,因?yàn)樵趧?dòng)完手腳后,黑客可以將音箱底部的橡膠墊再粘回去。

研究人員先搞清楚音箱中的音頻媒體是如何運(yùn)行的,然后開(kāi)發(fā)出相應(yīng)的程序?qū)⒁纛l傳輸?shù)竭h(yuǎn)程服務(wù)器上。整個(gè)過(guò)程并不會(huì)影響音箱的運(yùn)行。

被竊聽(tīng)的音頻可以在遠(yuǎn)程設(shè)備上進(jìn)行播放,從而讓研究人員監(jiān)聽(tīng)被黑Echo音箱周?chē)l(fā)生的任何談話。

巴尼斯解釋了他是如何對(duì)音箱做手腳的:“首先,我會(huì)安裝一個(gè)遠(yuǎn)程shell命令程序,把音箱的命令行轉(zhuǎn)移到我的電腦上。這就好像我以boot最高權(quán)限用戶(hù)的身份在Echo音箱內(nèi)部的電腦上操作。然后,我會(huì)搞清楚Echo音箱內(nèi)部的音頻媒體是如何運(yùn)行的,并將它通過(guò)網(wǎng)絡(luò)傳輸給我。這樣我就能夠在用戶(hù)毫不知情的情況下通過(guò)麥克風(fēng)偷聽(tīng)他們說(shuō)的一切話。”

2015年和2016年版的亞馬遜Echo已被證明存在這個(gè)漏洞。2017年版的Echo音箱和較小的亞馬遜Echo Dot則不存在這個(gè)漏洞。

黑客要利用這個(gè)漏洞,就必須對(duì)實(shí)體的Echo音箱做手腳。這意味著他們要實(shí)施這樣的攻擊可能比較困難。

而且,現(xiàn)在所有的Echo音箱上都有一個(gè)靜音按鈕,這個(gè)按鈕可以關(guān)閉麥克風(fēng)。任何擔(dān)心自己被竊聽(tīng)的人都可以直接關(guān)掉麥克風(fēng),從而防止被竊聽(tīng)。

還有一種防范被竊聽(tīng)風(fēng)險(xiǎn)的方法就是在值得信賴(lài)的經(jīng)銷(xiāo)商那里購(gòu)買(mǎi)嶄新的Echo音箱。此外,用戶(hù)還應(yīng)該盡量避免外借自己的Echo音箱,并確保及時(shí)更新相關(guān)軟件。

“對(duì)于我們來(lái)說(shuō),消費(fèi)者的信賴(lài)是至關(guān)重要的。為了確保最新的安全措施部署到位,我們通常會(huì)建議消費(fèi)者從亞馬遜網(wǎng)站或值得信賴(lài)的經(jīng)銷(xiāo)商那里購(gòu)買(mǎi)Echo音箱,并及時(shí)更新他們的軟件。”亞馬遜發(fā)言人說(shuō)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)