科技新网 Xinw.Com移动端

首页>家居>行业资讯

当心!亚马逊的Echo可能被利用为窃听器,如何应对

时间:2017-10-27      来源:科客      作者:一诺
分享到:

改造Echo

当心!亚马逊的Echo可能被利用为窃听器,如何应对

“我们展示了一种root Echo的技术,然后将它变成‘窃听器’”Barnes说,他在英国贝辛斯托克的MWR实验室担任安全研究员。他的博客描述了他如何在Echo上安装自己的恶意软件,先创建一个“root shell”,让他可以通过互联网连接被黑的Echo,最后“远程监听”持续录音的Ehco。

这个方法利用了2017年前出售的Echo遗留的硬件安全漏洞。拆除Echo的橡胶底座,就能发现下方的一些金属焊盘,它们的作用是链接内部硬件,它们应该是在销售前用于测试和修复错误的。例如,其中的一个金属盘能从SD卡中读取数据。

Echo 的金属焊盘分布
 

当心!亚马逊的Echo可能被利用为窃听器,如何应对

于是Barnes通过焊接连接了两个小金属盘,一个连接到他的笔记本电脑,另一个连接到一个SD卡读卡器。然后,他使用亚马逊的自带的功能,从SD卡上加载了自己修改过的Echo“开机加载程序”。这种程序根植于一些硬件设备中,能够自己唤醒操作系统,也能将操作系统的身份验证措施关闭的调整,还能允许他在Echo上安装软件。

虽然焊接需要花费数小时的时间,而且会留下物理证据,连接延伸出的电线也会分布得到处都是,但Barnes表示,随着开发的深入,插上特制的器件就能够直接连接上这些焊盘,轻松地在几分钟内实现相同的效果。事实上,南卡罗来纳州城堡军事学院的一个研究团队的一篇早期论文也能佐证Barnes的说法,论文暗示了黑客可以使用3D打印的器件连接到焊盘上。

Barnes解释说:“只要这个小小的橡胶底部,就可以直接连接这些焊盘了。你可以制造一个可以插上去的器件,这样就不用焊了,而且不会有明显的操作痕迹。”

在自己编写的软件获得了连接上Echo的能力之后,Barnes又编写了一个简单的脚本,可以控制麦克风,并将音频传输到任何指定的远程计算机上。他指出,这样的软件可以轻易地执行其他邪恶的功能,例如利用它作为接入点来攻击网络中的其他部分,窃取用户的亚马逊账号,或者安装其他勒索软件。 Barnes说:“你可以借助它为所欲为,真的。”

热点阅读

热门频道

精彩推荐

热点排行