blog

Amazon Echo可能被恶意软件劫持,用作窃听器

安全研究人员发现了Amazon Echo中的一个漏洞,该漏洞允许攻击者通过设备的麦克风安装恶意软件并监视用户。这一发现是由网络安全研究和开发公司MWR Labs的安全专家做出的,他们发现亚马逊的AI助手驱动扬声器的硬件设计可以将扬声器变成黑客的窃听器。阅读:Alexa连接到CIA?亚马逊Echo被用户问题绊倒该漏洞利用影响了2015年和2016年的Amazon Echo模型,但值得注意的是攻击不能远程执行。它需要物理访问设备本身,限制了广泛的风险 - 尽管仍然使扬声器易受目标攻击。为了实施黑客行为,恶意行为者将不得不移除Amazon Echo的橡胶底座并暴露其调试垫,人们可以从外部SD卡启动设备。在尝试从内部组件引导之前,Echo将尝试从SD卡引导。如果攻击者能够访问Echo并从SD卡启动,则会授予他们远程root shell或管理访问权限。这种访问将允许攻击者在设备上安装恶意软件并远程收听Echo的“始终在线”麦克风所拾取的任何内容。对于Echo的用户来说,设备受到损害的事实基本上是不明显的。攻击不会影响设备的功能。然而,在幕后,恶意软件将原始麦克风录音发送到远程服务器以供攻击者播放。阅读:亚马逊Echo助理演讲者在国内攻击期间自动呼叫警察虽然攻击只能通过实际移动进行,这本身就是限制,但这并不意味着用户没有风险。一些酒店在访客的房间内提供Amazon Echo设备,这些设备可能随时受到损害。一个人也可以购买被黑客攻击的二手Echo。设备也可能被有权访问的人侵入某人自己的家中。辱骂或嫉妒的合作伙伴可能会破坏设备以密切关注他人或收集他们可能的可疑录音。 Echo的最新型号的所有者不必担心,因为由于对硬件的修改,2017版本的设备不易受到攻击。 2015年和2016年生产的设备仍处于危险之中。对于那些担心其设备可能存在风险的人,首先要检查设备的型号。如果数字以“02”结尾,则该设备为2017型号,并且没有风险。任何其他型号都将表明可能易受攻击的早期型号。为防止此类攻击持续记录所有会话,用户可以使用设备上禁用麦克风的物理“静音”按钮。该按钮无法被设备的软件覆盖。

查看所有