免费咨询热线
020-88888888由于交互的必须,亚马逊Echo是总是在听得人们说出,因此它也更容易被偏执狂当作监听器。最近,一名安全性研究人员的实验,告诉他我们,甜美的音箱和恶魔的监听器两者之间,并没一道明晰的安全性防线。
只歧义几分钟的操作者,黑客就可以将Echo转换成监听麦克风,而会留给任何痕迹。wired的一篇报导讲解了这个实验,最后也给了大家最后的应付绝招。英国安全性研究员MarkBarnes在实验室的博客中详尽讲解了在亚马逊Echo中加装恶意软件的技术。实践中早已证明了他的代码需要秘密地将音频传遍自己的服务器中。
这技术首先必须在Echo的实物上再行做手脚,而且只对2017年之前出售的Echo有起到。Barnes警告说道,对于2017年前出售的那些产品,这个漏洞无法通过软件展开修缮,而且被改建的Echo在外观上没任何破绽。虽然这项技术的经常出现还不至于让每个Echo用户提心吊胆,但它显然认为了Echo中不存在的安全性问题,随着销量的减少,人们不会装载Echo外出。更加多的Echo被回到酒店房间或办公室中,用户不了时刻盯着它,也就给不怀好意之人留给机会。
改建Echo“我们展出了一种rootEcho的技术,然后将它变为‘窃听器’”Barnes说道,他在英国贝辛斯托克的MWR实验室兼任安全性研究员。他的博客叙述了他如何在Echo上加装自己的恶意软件,再行创立一个“rootshell”,让他可以通过互联网相连被白的Echo,最后“远程监听”持续录音的Ehco。
这个方法利用了2017年前出售的Echo遗留的硬件安全漏洞。拆毁Echo的橡胶底座,就能找到下方的一些金属焊盘,它们的起到是链接内部硬件,它们应当是在销售前用作测试和修缮错误的。
例如,其中的一个金属盘能从SD卡中读取数据。Echo的金属焊盘产于于是Barnes通过焊相连了两个小金属盘,一个相连到他的笔记本电脑,另一个相连到一个SD卡读卡器。然后,他用于亚马逊的自带的功能,从SD卡上读取了自己改动过的Echo“开机读取程序”。
这种程序植根于于一些硬件设备中,需要自己苏醒操作系统,也能将操作系统的身份验证措施重开的调整,还能容许他在Echo上加装软件。虽然焊必须花费数小时的时间,而且不会留给物理证据,相连伸延出有的电线也不会产于获得处都是,但Barnes回应,随着研发的了解,挂上特制的器件就需要必要相连上这些焊盘,精彩地在几分钟内构建完全相同的效果。
事实上,南卡罗来纳州城堡军事学院的一个研究团队的一篇早期论文也能佐证Barnes的众说纷纭,论文似乎了黑客可以用于3D打印机的器件相连到焊接盘上。Barnes说明说道:“只要这个小小的橡胶底部,就可以必要相连这些焊盘了。
你可以生产一个可以插上去的器件,这样就不必焊了,而且会有显著的操作者痕迹。”在自己撰写的软件取得了相连上Echo的能力之后,Barnes又撰写了一个非常简单的脚本,可以掌控麦克风,并将音频传输到任何登录的远程计算机上。他认为,这样的软件可以只能地继续执行其他恶魔的功能,例如利用它作为接入点来反击网络中的其他部分,盗取用户的亚马逊账号,或者加装其他勒索软件。
Barnes说道:“你可以利用它为所欲为,知道。
本文来源:k1体育在线网站-www.aura-tokyo.net
Copyright © 2005-2024 www.aura-tokyo.net. k1体育在线网站科技 版权所有 备案号:ICP备93419768号-3