【环球网智能报导 记者 张阳】自从像亚马逊Echo这样的智能音箱火爆之后,世界各地的家庭中都开端有了智能音箱的身影。不过自从此类的物联网设备呈现伊始,安全安排就将其做为了首要方针,尽管现在这种潜在要挟还仅仅假定可能的状况,没有发现针对智能音箱类型的歹意软件,特定条件下的验证进犯也显得有些不切实际,可是安全意识永久不能缺失。
据国外科技类媒体连线(WiRED)8月12日报导,一群我国白帽黑客花费数月时刻开宣布一种针对亚马逊Echo智能语音帮手进行进犯的新技术,尽管还算不上对智能音箱类产品的全面操控,可是可能是迄今为止最为挨近实际情况的一次演示:这些智能音箱设备很可能被悄然无声的应用于监听。
在上星期举办的DefCon安全会议上,腾讯Blade团队安全研讨专家吴辉宇(音)和钱文祥演示了怎么使用多个缝隙来侵略当时抢手的亚马逊第二代Echo智能音箱。进犯成功之后将可以在后台对用户进行监听,或操控音箱播映的内容等等。
不过用户们不用慌张,这些白帽黑客现已向亚马逊报告了他们的研讨发现,而且亚马逊现已在7月份发布了相应的安全补丁,即使在此之前,想要完成这样的进犯也并非易事,除了进犯者要具有专业的硬件常识之外,还要可以挨近被进犯者的WIFI网络才行。
整个的进犯进程较为杂乱,研讨员们首先将一台Echo智能音箱拆解,并取出其flash芯片,从头编写固件后,从头焊接回主板,将这台改造往后的Echo作为跳板东西来进犯其他的音箱,这个进程中使用了一系列的Amazon.com上与Alexa相关的Web缝隙包含跨站点脚本进犯、URL重定向、HTTPS降级等进犯手法。
其次进犯者还需要与方针在同一WIFI网络上,这意味着,进犯者要么可以知道被进犯者的WIFI暗码,要不然就需要拿到网络操控权,因而研讨人员以为,特务音箱可能会经过强行重设wifi暗码拐骗受害者装置改造往后的Echo而且衔接WIFI或许在酒店和校园这类公共场所对Echo进行进犯。
研讨人员标明,这项研讨标明,受害者乃至可能会遭受更恐惧的直接物理进犯手法,研讨人员们在联系了一段时刻之后,可以经过手艺焊接的办法将固件芯片从主板上移除,十分钟内提取固件信息,五分钟内修正固件并从头装置回设备上,而成功率挨近100%。
美国国家安全局精英黑客团队成员杰克·威廉姆斯指出,假如黑客成功操控智能音箱设备,那么它将成为一种强壮的监听设备。由于智能音箱往往具有很强壮的麦克风阵列,可以听到数米范围内的任何声响。
