【我們為什麼挑選這篇文章】
在科技日益進步的現在,我們生活中越來越多的物品都加入了許多便利的科技元素,並藉由將這些物品連結至網路,創造出一個看似方便的「物聯網」。但是在我們享受便利的同時,有沒有想過這些物品如果有一天像電腦一樣被駭客攻擊的時候,會發生什麼事情呢?
正如我們過去沒有想過有一天汽車也會被駭客攻擊,當一個喇叭被內建了微型電腦與麥克風,還連上網路,就有可能成為被攻擊的目標,然而普羅大眾對於這些”不向電腦”的物品,往往就不如像手機電腦那般的注重”安全”。
近日,一名英國研究員就展示了如何入侵一台智慧助理系統,並且利用他來做出許多的事情,包含遠端竊聽、偷取帳戶資訊,甚至作為攻擊電腦設備的中繼站等,在看完後也希望大家能在這塊上面有更多的警惕。
〈責任編輯:林厚勳〉
近日,英國安全研究人員 Mark Barnes 展示了入侵亞馬遜 Echo 的技術。通過這項技術,任何人都可以在 Echo 上安裝惡意軟體,並將設備的語音輸入發送到遠端伺服器上。攻擊者需要直接接觸 Echo,而且這個方法只適用於 2017 年前的設備,不過,這個漏洞無法修補,攻擊者也不會留下任何的證據。
Barnes 利用了舊款 Echo 設備上的一個漏洞。把 Echo 的底座去掉,你會看到設備底部的一些小金屬墊。這些金屬墊連接著 Echo 內部的硬件,可能是用於測試或修補軟體漏洞的。通過其中一個金屬墊,Echo 可以讀取 SD 卡上的數據。於是,Barnes 利用了上面的兩個金屬墊,分別連接到電腦和讀卡器上。然後,他給 Echo 裝上了新的 Bootloader,關掉了系統的安全機制,並且安裝了惡意軟體。
「卸下設備的塑料基座,你就能直接接觸到那些金屬墊,」 Barnes 對 Wired 網站說,「你可以製作一個專用設備,直接連接到底座上,那樣,你不會留下任何明顯的入侵證據了。」 在入侵系統後,Barnes 編寫了一個簡單腳本,可控制系統的語音功能。他表示,惡意軟體也可以做出更加惡劣的行為,比如攻擊網絡的其它設備、盜取用戶的帳號,或者安裝勒索軟體。
新款的 Echo 已經修復了這個問題。但是,舊款 Echo 的漏洞無法通過軟體修補。Barnes 警告說,第三方銷售的 Echo 有可能安裝了惡意軟體,而且,儘量不要在公共場合或者賓館房間使用 Echo 設備。「在那種情況下,你無法控制接觸設備的人,」 他說,「曾經住宿的客人可能安裝了什麼東西,或者是清潔工和其它什麼人。」
不過,惡意軟體無法操控 Echo 上的「靜音」按鍵。Barnes 說,如果「靜音」被開啟,他無法通過軟體打開語音。對於那些在意隱私的人,他提供了一個簡單的解決方案,「把它關掉吧。」
題圖來自 androidcommunity
(本文經合作夥伴 ifanr愛範兒 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈 智能音箱也被黑?安全人員發現舊款亞馬遜 Echo 存在的漏洞 〉。)
延伸閱讀
連在家聊天都沒隱私了?亞馬遜想把所有語音助手的「聊天紀錄」給開發者
亞馬遜 Alexa 不夠撐起一個家!三星 Family Hub 讓冰箱當智慧管家,買菜、煮飯甚至監控小孩成績都一把罩
【個人隱私大戰社會安全】謀殺案被 Amazon 智慧家電 Echo 錄到,但 Amazon 拒交紀錄
