(公众号:)按:由于交互的必须,亚马逊Echo是总是在听得人们说出,因此它也更容易被偏执狂当作监听器。最近,一名安全性研究人员的实验,告诉他我们,甜美的音箱和恶魔的监听器两者之间,并没一道明晰的安全性防线。只歧义几分钟的操作者,黑客就可以将Echo转换成监听麦克风,而会留给任何痕迹。wired的一篇报导讲解了这个实验,最后也给了大家最后的应付绝招。
展开了编译器。本星期二,英国安全性研究员Mark Barnes在实验室的博客中详尽讲解了在亚马逊Echo中加装恶意软件的技术。实践中早已证明了他的代码需要秘密地将音频传遍自己的服务器中。这技术首先必须在Echo的实物上再行做手脚,而且只对2017年之前出售的Echo有起到。
Barnes警告说道,对于2017年前出售的那些产品,这个漏洞无法通过软件展开修缮,而且被改建的Echo在外观上没任何破绽。虽然这项技术的经常出现还不至于让每个Echo用户提心吊胆,但它显然认为了Echo中不存在的安全性问题,随着销量的减少,人们不会装载Echo外出。更加多的Echo被回到酒店房间或办公室中,用户不了时刻盯着它,也就给不怀好意之人留给机会。
改建Echo“我们展出了一种root Echo的技术,然后将它变为‘窃听器’”Barnes说道,他在英国贝辛斯托克的MWR实验室兼任安全性研究员。他的博客叙述了他如何在Echo上加装自己的恶意软件,再行创立一个“root shell”,让他可以通过互联网相连被白的Echo,最后“远程监听”持续录音的Ehco。这个方法利用了2017年前出售的Echo遗留的硬件安全漏洞。拆毁Echo的橡胶底座,就能找到下方的一些金属焊盘,它们的起到是链接内部硬件,它们应当是在销售前用作测试和修缮错误的。
例如,其中的一个金属盘能从SD卡中读取数据。Echo 的金属焊盘产于于是Barnes通过焊相连了两个小金属盘,一个相连到他的笔记本电脑,另一个相连到一个SD卡读卡器。
然后,他用于亚马逊的自带的功能,从SD卡上读取了自己改动过的Echo“开机读取程序”。这种程序植根于于一些硬件设备中,需要自己苏醒操作系统,也能将操作系统的身份验证措施重开的调整,还能容许他在Echo上加装软件。虽然焊必须花费数小时的时间,而且不会留给物理证据,相连伸延出有的电线也不会产于获得处都是,但Barnes回应,随着研发的了解,挂上特制的器件就需要必要相连上这些焊盘,精彩地在几分钟内构建完全相同的效果。
事实上,南卡罗来纳州城堡军事学院的一个研究团队的一篇早期论文也能佐证Barnes的众说纷纭,论文似乎了黑客可以用于3D打印机的器件相连到焊接盘上。Barnes说明说道:“只要这个小小的橡胶底部,就可以必要相连这些焊盘了。你可以生产一个可以插上去的器件,这样就不必焊了,而且会有显著的操作者痕迹。”在自己撰写的软件取得了相连上Echo的能力之后,Barnes又撰写了一个非常简单的脚本,可以掌控麦克风,并将音频传输到任何登录的远程计算机上。
他认为,这样的软件可以只能地继续执行其他恶魔的功能,例如利用它作为接入点来反击网络中的其他部分,盗取用户的亚马逊账号,或者加装其他勒索软件。Barnes说道:“你可以利用它为所欲为,知道。”非常简单的绝招亚马逊早已在近期版本中修缮了Barnes找到的Echo的这个安全漏洞。
Barnes回应,亚马逊早已在硬件产品上杜绝了这种有可能。当WIRED向亚马逊告知对此事的观点时,亚马逊在一份声明中写到:“为了保证产品安全,我们建议客户从亚马逊或可靠的零售商处出售Amazon生产的设备,并维持软件改版。”Barnes表示同意,他的实验主要还是给那些从亚马逊之外的渠道出售Echo的人的一个警告,例如一些二手的Echo有可能就被改建过。
但他也认为,软件的改版是不了解救早期的Echo的,因为问题在于硬件的漏洞。他说道,人们应当考虑到在公共场所或半公共场合用于Echo的安全隐患,例如拉斯维加斯永利酒店,就计划在每间客房里摆放Echo。Barnes说道:“在这种情况下,您根本无法告诉谁早已相连上Echo了。
“有可能酒店以前的客人就在里面加装了一些东西,或者清洁工,谁都有指控。”将室内智能服务设备变为间谍工具的点子某种程度是偏执狂才有的:维基解密公布的文档指出,中情局早已研究出有了类似于的物理终端技术,目的将三星智能电视变为监听设备。对于那些担忧Echo早已遭改建的人而言,Barnes认为,亚马逊还是拔了一手,Echo有一个静音按钮,也是Echo的电源,是恶意软件无法跨过的。
他引荐这个办法: “要是这个按钮被关上了,软件是没办法重新启动的。”他说道。所以这是他的绝招:“一关则灵。
本文来源:ag真人官网平台-www.sdgxny.com
地址:内蒙古自治区阿拉善盟宾川县蒂算大楼76号 电话:0394-53708946 手机:15796606254
Copyright © 2009-2023 www.sdgxny.com. ag真人官网平台科技 版权所有 ICP备案编号:ICP备68139734号-8