随着苹果正式发布HomePod宣布入主智能音箱市场,无论从国外还是国内,都掀起了一股智能音箱的热潮。国内的厂商像出门问问、Rokid、喜马拉雅及小米都纷纷推出了自己的AI音箱产品,众筹也好,量产也好,都充分表明了智能音箱将是物联网时代的下一个爆点。
在改善我们生活方式,让我们的日常生活越来越方便的同时,智能音箱却也出现了隐患。近日,英国安全研究人员Mark Barnes展示了入侵亚马逊Echo的技术。通过这项技术,任何人都可以在Echo上安装恶意软件,并将设备的语音输入发送到远程服务器上。攻击者需要直接接触Echo,而且这个方法只适用于2017年之前的设备。这个漏洞无法修补,同时攻击者也不会留下任何的证据。
那么Mark Barnes发现的旧款Echo设备上的漏洞是什么呢?把Echo的底座去掉,可以看到设备底部有一些小的金属垫。这些金属连接着Echo内部的硬件。通过其中一个金属垫可以读取SD卡上的数据。Barnes利用了上面的两个金属垫,分别连接到电脑和读卡器上,之后装上新的Bootloader,关闭了系统的安全机制,从而安装恶意软件。
因为此入侵方法是硬件入侵,而并非是软件的系统bug,所以通过刷新固件等方法是无法修复的。目前新款的Echo已经解决了这个问题,但是旧款是无法通过软件修补的。Barnes警告说,目前在旧版的Echo上,很多第三方销售会安装恶意软件,所以尽量不要在公共场合像宾馆酒店房间等场所使用Echo设备。“在那种情况下,你无法控制接触设备的人”Barnes说,“曾经住宿的客人可能安装了什么东西,或者是清洁工或其他什么人。”
不过Barnes针对旧款Echo也提供了一个防范的方法,恶意软件无法控制Echo上的“静音”按键,也就是说,如果“静音”模式打开的话,黑客将无法通过软件打开语音。对于那些使用旧款Echo的yoghurt来说,这确实是一个行之有效的防范方法。