近日����,英國安全研究人員 Mark Barnes 展示了入侵亞馬遜 Echo 的技術(shù)。通過這項技術(shù)��,任何人都可以在 Echo 上安裝惡意軟件�����,并將設(shè)備的語音輸入發(fā)送到遠(yuǎn)程服務(wù)器上�����。攻擊者需要直接接觸 Echo���,而且這個方法只適用于 2017 年前的設(shè)備��,不過����,這個漏洞無法修補�����,攻擊者也不會留下任何的證據(jù)。
Barnes 利用了舊款 Echo 設(shè)備上的一個漏洞�����。把 Echo 的底座去掉�����,你會看到設(shè)備底部的一些小金屬墊���。這些金屬墊連接著 Echo 內(nèi)部的硬件��,可能是用于測試或修補軟件漏洞的���。通過其中一個金屬墊,Echo 可以讀取 SD 卡上的數(shù)據(jù)�。于是,Barnes 利用了上面的兩個金屬墊�����,分別連接到電腦和讀卡器上���。然后���,他給 Echo 裝上了新的Bootloader��,關(guān)掉了系統(tǒng)的安全機制,并且安裝了惡意軟件��。
“卸下設(shè)備的塑料基座,你就能直接接觸到那些金屬墊��,”Barnes對 Wired網(wǎng)站說��,“你可以制作一個專用設(shè)備��,直接連接到底座上����,那樣,你不會留下任何明顯的入侵證據(jù)了�����。” 在入侵系統(tǒng)后����,Barnes 編寫了一個簡單腳本�,可控制系統(tǒng)的語音功能���。他表示�����,惡意軟件也可以做出更加惡劣的行為���,比如攻擊網(wǎng)絡(luò)的其它設(shè)備、盜取用戶的賬號��,或者安裝勒索軟件��。
新款的 Echo 已經(jīng)修復(fù)了這個問題����。但是,舊款 Echo 的漏洞無法通過軟件修補�。Barnes 警告說,第三方銷售的 Echo 有可能安裝了惡意軟件��,而且�,盡量不要在公共場合或者賓館房間使用 Echo 設(shè)備�����。“在那種情況下��,你無法控制接觸設(shè)備的人��,” 他說���,“曾經(jīng)住宿的客人可能安裝了什么東西���,或者是清潔工和其它什么人���。”
不過,惡意軟件無法操控 Echo 上的“靜音”按鍵�。Barnes 說,如果“靜音”被開啟���,他無法通過軟件打開語音����。對于那些在意隱私的人�,他提供了一個簡單的解決方案�,“把它關(guān)掉吧��。”
微信掃一掃
