在上周举行的DefCon安全会议上,腾讯Blade团队安全研究专家吴辉宇(音)和钱文祥演示了如何利用多个漏洞来入侵当前热门的亚马逊第二代Echo智能音箱。攻击成功之后将能够在后台对用户进行监听,或控制音箱播放的内容等等。
不过,,腾讯Blade团队早在7月份就已向亚马逊提交了他们的研究发现,而亚马逊也针对这一问题发布了相对应的安全补丁。此外,即使黑客欲把智能音箱变成“间谍”也不是件容易的事情,他们必须要具备专业的硬件知识之外,还要能够接近被攻击者的WIFI网络才行。
研究人员表示,这项研究表明,受害者甚至可能会遭受更恐怖的直接物理攻击手段,研究人员们在练习了一段时间之后,可以通过手工焊接的方法将固件芯片从主板上移除,十分钟内提取固件信息,五分钟内修改固件并重新安装回设备上,而成功率接近100%。
虽然此次研究还算不上对智能音箱类产品的全面控制,但是可能是迄今为止最为接近实际情况的一次演示:这些智能音箱设备很可能被悄无声息的应用于监听。
更糟糕的是,由于智能音箱往往具有很强大的麦克风阵列,能够听到数米范围内的任何声音,如果黑客成功控制智能音箱设备,那么它将成为一种强大的监听设备。
其实,智能音箱只是当代流行的物联网设备的一个缩影,在物联网设备盛行的今天,其安全问题越来越引起重视,怎样才能避免安全门爆发,而我们还能安心使用包括智能音箱在内的物联网设备吗?