智能音箱也被黑？安全人员发现旧款亚马逊 Echo 存在的漏洞

2017-08-03 23:18 来源:爱范儿 亚马逊

原标题：智能音箱也被黑？安全人员发现旧款亚马逊 Echo 存在的漏洞

近日，英国安全研究人员Mark Barnes 展示了入侵亚马逊Echo 的技术。通过这项技术，任何人都可以在Echo 上安装恶意软件，并将设备的语音输入发送到远程服务器上。攻击者需要直接接触Echo，而且这个方法只适用于2017 年前的设备，不过，这个漏洞无法修补，攻击者也不会留下任何的证据。

Barnes 利用了旧款Echo 设备上的一个漏洞。把Echo 的底座去掉，你会看到设备底部的一些小金属垫。这些金属垫连接着Echo 内部的硬件，可能是用于测试或修补软件漏洞的。通过其中一个金属垫，Echo 可以读取SD 卡上的数据。于是，Barnes 利用了上面的两个金属垫，分别连接到电脑和读卡器上。然后，他给Echo 装上了新的Bootloader，开奖，关掉了系统的安全机制，并且安装了恶意软件。

(图片来自 adage)

“卸下设备的塑料基座，你就能直接接触到那些金属垫，” Barnes 对 Wired 网站说，“你可以制作一个专用设备，直接连接到底座上，那样，你不会留下任何明显的入侵证据了。” 在入侵系统后，Barnes 编写了一个简单脚本，atv，可控制系统的语音功能。他表示，恶意软件也可以做出更加恶劣的行为，比如攻击网络的其它设备、盗取用户的账号，或者安装勒索软件。

(图片来自 zdnet)

新款的Echo 已经修复了这个问题。但是，旧款Echo 的漏洞无法通过软件修补。Barnes 警告说，第三方销售的Echo 有可能安装了恶意软件，而且，尽量不要在公共场合或者宾馆房间使用Echo 设备。“在那种情况下，你无法控制接触设备的人，” 他说，“曾经住宿的客人可能安装了什么东西，或者是清洁工和其它什么人。”

不过，恶意软件无法操控Echo 上的“静音”按键。Barnes 说，如果“静音”被开启，他无法通过软件打开语音。对于那些在意隐私的人，他提供了一个简单的解决方案，“把它关掉吧。”

题图来自 androidcommunity