2017-08-02 zq
8月2日消息,援引Wired报道,国外破解达人已经成功破解亚马逊Echo,并且黑客可将其当作实时的麦克风来监听设备周围的声音。
专家Mark Barnes今天早些时候在个人播客上公布了详细的破解过程。简单来说,Barnes所使用的破解方式就是从插入的SD卡启动,类似于LiveCD,然后访问并重写Echo的固件。一旦固件被重新写入,已经成功破解的Echo就能发送所有麦克风捕捉到音频给第三方,随后即使移除SD卡也会保持破解状态。
其问题严重性在于成功破解之后,在没有说唤醒命令的情况下能实时执行用户下达的命令,此外还允许破解者远程恢复认证令牌和其他敏感数据。
Barnes的攻击目前仅适用于2015年和2016年款的Echo,2017年款的Echo的内部硬件做出调整已经阻止从SD卡进行启动。在没有移除纸SPI模式下,2017年款Echo无法支持从SD卡进行启动,因此无法执行攻击。
对此亚马逊发声明中表示:“消费者的信任对于我们来说是至关重要的。为了确保最新的保障措施,我们一般都推荐用户从亚马逊官方网站或者可信赖的零售渠道进行购买,这样才能确保你的软件处于最新状态。”