智能音箱被黑 安全人員發現舊款亞馬遜Echo存在漏洞

【TechWeb報道】隨著蘋果正式發布HomePod宣布入主智能音箱市場，無論從國外還是國內，都掀起了一股智能音箱的熱潮。國內的廠商像出門問問、Rokid、喜馬拉雅及小米都紛紛推出了自己的AI音箱產品，眾籌也好，量產也好，都充分表明了智能音箱將是物聯網時代的下一個爆點。

在改善我們生活方式，讓我們的日常生活越來越方便的同時，智能音箱卻也出現了隱患。近日，英國安全研究人員Mark Barnes展示了入侵亞馬遜Echo的技術。通過這項技術，任何人都可以在Echo上安裝惡意軟體，並將設備的語音輸入發送到遠程伺服器上。攻擊者需要直接接觸Echo，而且這個方法只適用於2017年之前的設備。這個漏洞無法修補，同時攻擊者也不會留下任何的證據。

那麼Mark Barnes發現的舊款Echo設備上的漏洞是什麼呢？把Echo的底座去掉，可以看到設備底部有一些小的金屬墊。這些金屬連接著Echo內部的硬體。通過其中一個金屬墊可以讀取SD卡上的數據。Barnes利用了上面的兩個金屬墊，分別連接到電腦和讀卡器上，之後裝上新的Bootloader，關閉了系統的安全機制，從而安裝惡意軟體。

因為此入侵方法是硬體入侵，而並非是軟體的系統bug，所以通過刷新固件等方法是無法修復的。目前新款的Echo已經解決了這個問題，但是舊款是無法通過軟體修補的。Barnes警告說，目前在舊版的Echo上，很多第三方銷售會安裝惡意軟體，所以盡量不要在公共場合像賓館酒店房間等場所使用Echo設備。「在那種情況下，你無法控制接觸設備的人」Barnes說，「曾經住宿的客人可能安裝了什麼東西，或者是清潔工或其他什麼人。」

不過Barnes針對舊款Echo也提供了一個防範的方法，惡意軟體無法控制Echo上的「靜音」按鍵，也就是說，如果「靜音」模式打開的話，黑客將無法通過軟體打開語音。對於那些使用舊款Echo的yoghurt來說，這確實是一個行之有效的防範方法。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！