有些人担心黑客会潜入他们的智能扬声器(音箱)并监视它们,但这并不是现实 - 至少不是亚马逊的Echo。然而,来自中国腾讯的一组研究人员已经尽可能地接近了。他们已经披露了对Echo的攻击,它使用修改后的扬声器和一串Alexa Web界面漏洞来远程窃听常规模型。这听起来很邪恶,但它需要比大多数入侵者更可行的步骤。
该团队通过从设备中移除闪存芯片,修改其固件以获得root访问权限并将其焊接回其电路板上,创建了一个很不下规的Echo。之后,该组将扬声器放在与未触及的Echos相同的WiFi网络上。研究人员使用亚马逊的全家通信协议和Alexa界面缺陷(包括地址重定向,跨站点脚本和网络加密降级)来完全控制受害者的扬声器,包括静音录制和播放他们喜欢的任何声音。
亚马逊已经修复了相关的互联网漏洞。就目前而言,实际攻击的可能性很小。一个潜在的窃听者必须知道如何拆解Echo,识别(和连接)一个网络与其他Echos 并链接多个漏洞。这在酒店和其他地方非常有用,在这些地方,黑客既可以期待智能扬声器(音箱),也可以在没有引起太多关注的情况下闲逛。如果有一个更大的问题,那就是这表明一开始就有可能进行窥探攻击 - 无论它多么不可能。
| 留言与评论(共有 0 条评论) |
