近日,英國安全研究人員 Mark Barnes 展示了入侵亞馬遜 Echo 的技術。透過這項技術,任何人都可以在 Echo 上安裝惡意軟體,並將裝置的語音輸入發送到遠程伺服器上。攻擊者需要直接接觸 Echo,而且這個方法只適用於 2017 年前的裝置,不過,這個漏洞無法修補,攻擊者也不會留下任何的證據。
Barnes 利用了舊款 Echo 裝置上的一個漏洞。把 Echo 的底座去掉,你會看到裝置底部的一些小金屬墊。這些金屬墊連接著 Echo 內部的硬體,可能是用於測試或修補軟體漏洞的。透過其中一個金屬墊,Echo 可以讀取 SD 卡上的數據。於是,Barnes 利用上面的兩個金屬墊,分別連接到電腦和讀卡機上。然後,他在 Echo 裝上新的 Bootloader,關掉了系統的安全機制,並且安裝了惡意軟體。
「卸下裝置的塑膠基座,你就能直接接觸到那些金屬墊,」Barnes 對 Wired 網站說,「你可以製作一個專用裝置,直接連接到底座上,那樣你就不會留下任何明顯的入侵證據了。」在入侵系統後,Barnes 編寫了一個簡單腳本,可控制系統的語音功能。他表示,惡意軟體也可以做出更加惡劣的行為,比如攻擊網路的其他裝置、盜取用戶的帳號,或者安裝勒索軟體。
新款的 Echo 已經修復了這個問題。但是,舊款 Echo 的漏洞無法透過軟體修補。Barnes 警告說,第三方銷售的 Echo 有可能安裝了惡意軟體,而且,盡量不要在公共場合或者飯店房間使用 Echo 裝置。「在那種情況下,你無法控制接觸裝置的人,」他說,「曾經住宿的客人可能安裝了什麽東西,或者是清潔人員和其他什麽人。」
不過,惡意軟體無法操控 Echo 上的「靜音」按鍵。Barnes 說,如果「靜音」被開啟,他無法透過軟體打開語音。對於那些在意隱私的人,他提供了一個簡單的解決方案,「把它關掉吧」。
蘋果承認,中國用戶資料儲存在中國電信伺服器 
蘋果電腦系統又遭惡意軟體針對,將竊取主機傳輸資料 
亞馬遜低調收購 Biba Systems 布局企業雲端服務市場 
亞馬遜第二季財報表現優於市場預期,連三季獲利創新高 
美國 5 大傳奇公司誕生的 5 個車庫 
Let’s Encrypt 申請突破百萬次數 
