微慑信息网

2015/2016 年款亚马逊 Echo 遭破解,可持续监听并获取敏感数据

援引 Wired 报道,国外破解达人已成功破解亚马逊 Echo,黑客可将其当作实时麦克风监听设备周围声音。整个破解过程需要进行拆机,并仅限于 2017 年发售的 Echo 设备,因此很难大规模推广。不过在成功破解之后,在没有说唤醒命令的情况下能实时执行用户下达的命令,此外还允许破解者远程恢复认证令牌和其他敏感数据。

6aa582d2e049a82

专家 Mark Barnes 于 8 月 2 日在个人播客上公布详细破解过程。简单来说,Barnes 所使用的破解方式就是从插入的 SD 卡启动,类似于 LiveCD,然后访问并重写 Echo 固件。一旦固件被重新写入,已经成功破解的 Echo 就能发送所有麦克风捕捉到音频给第三方,随后即使移除 SD 卡也会保持破解状态。

亚马逊在声明中表示:“ 消费者的信任对于我们来说是至关重要的。为了确保最新的保障措施,我们一般都推荐用户从亚马逊官方网站或者可信赖的零售渠道进行购买,这样才能确保你的软件处于最新状态。”

0b1003a85d96eb2

Barnes 的攻击目前仅适用于 2015 年和 2016 年款的 Echo,2017 年款的 Echo 的内部硬件做出调整已经阻止从 SD 卡进行启动。在没有移除纸 SPI 模式下,2017 年款 Echo 无法支持从 SD 卡进行启动,因此无法执行攻击。

稿源:cnBeta,封面源自网络;

 

from hackernews.cc.thanks for it.

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 2015/2016 年款亚马逊 Echo 遭破解,可持续监听并获取敏感数据

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册