腾讯科技讯 据外媒报道,信息安全公司MWR InfoSecurity的研发人员发现,老款亚马逊Echo智能音箱中存在一个安全漏洞,黑客可以利用它将Echo音箱变成窃听器,而又不影响它的整体功效。
但是,黑客必须要能够接触到实体的Echo音箱,并神不知鬼不觉地做一些手脚,然后才能远程控制它。
Echo音箱有两个设计:音箱底部的调试装置和硬件参数设置。它们可以让Echo音箱通过外部SD卡来启动,并让攻击者访问Linux操作系统中root最高权限用户的shell命令,从而进行攻击活动。
拆下亚马逊Echo音箱底部的橡胶垫,安全研究人员就可以看到18个调试装置。利用这些调试装置,他们可以通过外部SD卡直接启动到音箱固件,然后安装恶意程序,并能够调用root最高权限用户的shell命令,开启“始终在监听中”的麦克风。
“如果你是攻击者,你只需要动一些手脚就能够以最高权限用户的身份来访问整个操作系统。” MWR InfoSecurity公司的安全顾问马克-巴尼斯(Mark Barnes)说。
所有这些操作过程不会留下任何痕迹,因为在动完手脚后,黑客可以将音箱底部的橡胶垫再粘回去。
研究人员先搞清楚音箱中的音频媒体是如何运行的,然后开发出相应的程序将音频传输到远程服务器上。整个过程并不会影响音箱的运行。
被窃听的音频可以在远程设备上进行播放,从而让研究人员监听被黑Echo音箱周围发生的任何谈话。
巴尼斯解释了他是如何对音箱做手脚的:“首先,我会安装一个远程shell命令程序,把音箱的命令行转移到我的电脑上。这就好像我以boot最高权限用户的身份在Echo音箱内部的电脑上操作。然后,我会搞清楚Echo音箱内部的音频媒体是如何运行的,并将它通过网络传输给我。这样我就能够在用户毫不知情的情况下通过麦克风偷听他们说的一切话。”
2015年和2016年版的亚马逊Echo已被证明存在这个漏洞。2017年版的Echo音箱和较小的亚马逊Echo Dot则不存在这个漏洞。
黑客要利用这个漏洞,就必须对实体的Echo音箱做手脚。这意味着他们要实施这样的攻击可能比较困难。
而且,现在所有的Echo音箱上都有一个静音按钮,这个按钮可以关闭麦克风。任何担心自己被窃听的人都可以直接关掉麦克风,从而防止被窃听。
还有一种防范被窃听风险的方法就是在值得信赖的经销商那里购买崭新的Echo音箱。此外,用户还应该尽量避免外借自己的Echo音箱,并确保及时更新相关软件。
“对于我们来说,消费者的信赖是至关重要的。为了确保最新的安全措施部署到位,我们通常会建议消费者从亚马逊网站或值得信赖的经销商那里购买Echo音箱,并及时更新他们的软件。”亚马逊发言人说。(编译/乐学)
责任编辑:唐秀敏
- “黑五”购物季在即 美亚马逊欲在法国招临时工2017-11-08
- 售价不到100美元 亚马逊智能音箱也玩起了价格战2017-09-28
- 一笑泯恩仇 苹果Apple TV两年后重现亚马逊2017-09-28
- 亚马逊恐怖剧集《Lore》称基于真实异灵事件 Lore剧情介绍2017-09-15
- 人工智能助理的归宿不应只是音箱 更不该是手机2017-09-11
- 黑暗幻想电影《野兽也是动物》即将筹拍 双胞胎姐妹变成了食魂者2017-08-17
- 亚马逊专利文件显示 它准备在水下储存商品2017-07-25
- 日本大叔斋藤浩介爱收藏亚马逊包装盒 部分盒子已有近10年历史2017-07-17
- 亚马逊智能音箱和苹果贴身肉搏 二代Echo走高端路线2017-07-14
- 亚马逊Echo Show外媒评测汇总:功能丰富 或大有作为2017-06-28
- 最新科技前沿 频道推荐
-
满血版vs非满血版 同配置笔记本之间就差在这2017-11-14
- 进入图片频道最新图文
- 进入视频频道最新视频
- 一周热点新闻
已有0人发表了评论