惊!亚马逊 Echo 遭破解,窜改系统、窃取帐号,还能把妳听


42人参与 |分类: V生活邦|时间: 2020-07-10

惊!亚马逊 Echo 遭破解,窜改系统、窃取帐号,还能把妳听

近日,英国安全研究人员Mark Barnes 展示了入侵亚马逊Echo 的技术。通过这项技术,任何人都可以在Echo 上安装恶意软体,并将设备的语音输入发送到远端伺服器上。攻击者需要直接接触Echo,而且这个方法只适用于2017 年前的设备,不过,这个漏洞无法修补,攻击者也不会留下任何的证据。

Barnes 利用了旧款Echo 设备上的一个漏洞。把Echo 的底座去掉,你会看到设备底部的一些小金属垫。这些金属垫连接着Echo 内部的硬件,可能是用于测试或修补软体漏洞的。通过其中一个金属垫, Echo 可以读取SD 卡上的数据。于是, Barnes 利用了上面的两个金属垫,分别连接到电脑和读卡器上。然后,他给Echo 装上了新的Bootloader,关掉了系统的安全机制,并且安装了恶意软体。

惊!亚马逊 Echo 遭破解,窜改系统、窃取帐号,还能把妳听

「卸下设备的塑料基座,你就能直接接触到那些金属垫, 」Barnes 对 Wired 网站 说, 「你可以製作一个专用设备,直接连接到底座上,那样,你不会留下任何明显的入侵证据了。 」在入侵系统后, Barnes 编写了一个简单脚本,可控制系统的语音功能。他表示,恶意软体也可以做出更加恶劣的行为,比如攻击网络的其它设备、盗取用户的帐号,或者安装勒索软体。

惊!亚马逊 Echo 遭破解,窜改系统、窃取帐号,还能把妳听

新款的Echo 已经修复了这个问题。但是,旧款Echo 的漏洞无法通过软体修补。 Barnes 警告说,第三方销售的Echo 有可能安装了恶意软体,而且,儘量不要在公共场合或者宾馆房间使用Echo 设备。 「在那种情况下,你无法控制接触设备的人, 」他说, 「曾经住宿的客人可能安装了什幺东西,或者是清洁工和其它什幺人。」

不过,恶意软体无法操控Echo 上的 「静音 」按键。 Barnes 说,如果 「静音 」被开启,他无法通过软体打开语音。对于那些在意隐私的人,他提供了一个简单的解决方案, 「把它关掉吧。」

题图来自 androidcommunity

延伸阅读

连在家聊天都没隐私了?亚马逊想把所有语音助手的「聊天纪录」给开发者
亚马逊 Alexa 不够撑起一个家!三星 Family Hub 让冰箱当智慧管家,买菜、煮饭甚至监控小孩成绩都一把罩
谋杀案被 Amazon 智慧家电 Echo 录到,但 Amazon 拒交纪录