驚!亞馬遜 Echo 遭破解,竄改系統、竊取帳號,還能把妳聽光光

【我們為什麼挑選這篇文章】

在科技日益進步的現在,我們生活中越來越多的物品都加入了許多便利的科技元素,並藉由將這些物品連結至網路,創造出一個看似方便的「物聯網」。但是在我們享受便利的同時,有沒有想過這些物品如果有一天像電腦一樣被駭客攻擊的時候,會發生什麼事情呢?

正如我們過去沒有想過有一天汽車也會被駭客攻擊,當一個喇叭被內建了微型電腦與麥克風,還連上網路,就有可能成為被攻擊的目標,然而普羅大眾對於這些” 不向電腦” 的物品,往往就不如像手機電腦那般的注重” 安全”。

近日,一名英國研究員就展示了如何入侵一台智慧助理系統,並且利用他來做出許多的事情,包含遠端竊聽、偷取帳戶資訊,甚至作為攻擊電腦設備的中繼站等,在看完後也希望大家能在這塊上面有更多的警惕。

〈責任編輯:林厚勳〉

近日,英國安全研究人員 Mark Barnes 展示了入侵亞馬遜 Echo 的技術。通過這項技術,任何人都可以在 Echo 上安裝惡意軟體,並將設備的語音輸入發送到遠端伺服器上。攻擊者需要直接接觸 Echo,而且這個方法只適用於 2017 年前的設備,不過,這個漏洞無法修補,攻擊者也不會留下任何的證據。

Barnes 利用了舊款 Echo 設備上的一個漏洞。把 Echo 的底座去掉,你會看到設備底部的一些小金屬墊。這些金屬墊連接著 Echo 內部的硬件,可能是用於測試或修補軟體漏洞的。通過其中一個金屬墊, Echo 可以讀取 SD 卡上的數據。於是, Barnes 利用了上面的兩個金屬墊,分別連接到電腦和讀卡器上。然後,他給 Echo 裝上了新的 Bootloader,關掉了系統的安全機制,並且安裝了惡意軟體。

echo 1
(圖片來自 adage)

卸下設備的塑料基座,你就能直接接觸到那些金屬墊, 」Barnes 對 Wired 網站 說, 你可以製作一個專用設備,直接連接到底座上,那樣,你不會留下任何明顯的入侵證據了。 在入侵系統後, Barnes 編寫了一個簡單腳本,可控制系統的語音功能。他表示,惡意軟體也可以做出更加惡劣的行為,比如攻擊網絡的其它設備、盜取用戶的帳號,或者安裝勒索軟體。

echo 2
(圖片來自 zdnet)

新款的 Echo 已經修復了這個問題。但是,舊款 Echo 的漏洞無法通過軟體修補。 Barnes 警告說,第三方銷售的 Echo 有可能安裝了惡意軟體,而且,儘量不要在公共場合或者賓館房間使用 Echo 設備。 在那種情況下,你無法控制接觸設備的人, 他說, 曾經住宿的客人可能安裝了什麼東西,或者是清潔工和其它什麼人。

不過,惡意軟體無法操控 Echo 上的 靜音 按鍵。 Barnes 說,如果 靜音 被開啟,他無法通過軟體打開語音。對於那些在意隱私的人,他提供了一個簡單的解決方案, 把它關掉吧。

題圖來自 androidcommunity

(本文經合作夥伴 ifanr 愛範兒 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈 智能音箱也被黑?安全人員發現舊款亞馬遜 Echo 存在的漏洞 〉。)

延伸閱讀

連在家聊天都沒隱私了?亞馬遜想把所有語音助手的「聊天紀錄」給開發者
亞馬遜 Alexa 不夠撐起一個家!三星 Family Hub 讓冰箱當智慧管家,買菜、煮飯甚至監控小孩成績都一把罩
【個人隱私大戰社會安全】謀殺案被 Amazon 智慧家電 Echo 錄到,但 Amazon 拒交紀錄


點關鍵字看更多相關文章: