智能家居秒变“窃听器”,亚马逊Echo“爆改”有隐患

分享到:

由于交互的需要,亚马逊Echo是总是在听人们说话,因此它也容易被偏执狂当成监听器。最近,一名安全研究人员的实验,告诉我们,可爱的音箱和邪恶的监听器两者之间,并没有一道清晰的安全防线。只消几分钟的操作,黑客就可以将Echo转换成窃听麦克风,而不会留下任何痕迹。wired的一篇报道介绍了这个实验,最后也给了大家最终的应对绝招。 英国安全研究员Mark Barnes在实验室的博客中详细介绍了在亚马逊Echo中安装恶意软件的技术。实践已经证明了他的代码能够秘密地将音频传到自己的服务器中。这技术首先需要在Echo的实物上先做手脚,而且只对2017年之前出售的Echo有作用。Barnes警告说,对于2017年前出售的那些产品,这个漏洞无法通过软件进行修复,而且被改造的Echo在外观上没有任何破绽。

QQ截图20170810194936
虽然这项技术的出现还不至于让每个Echo用户提心吊胆,但它确实指出了Echo中存在的安全性问题,随着销量的增加,人们会携带Echo出门。越来越多的Echo被留在酒店房间或办公室中,用户没法时刻盯着它,也就给不怀好意之人留下机会。 改造Echo

QQ截图20170810194948
“我们展示了一种root Echo的技术,然后将它变成‘窃听器’”Barnes说,他在英国贝辛斯托克的MWR实验室担任安全研究员。他的博客描述了他如何在Echo上安装自己的恶意软件,先创建一个“root shell”,让他可以通过互联网连接被黑的Echo,最后“远程监听”持续录音的Ehco。 这个方法利用了2017年前出售的Echo遗留的硬件安全漏洞。拆除Echo的橡胶底座,就能发现下方的一些金属焊盘,它们的作用是链接内部硬件,它们应该是在销售前用于测试和修复错误的。例如,其中的一个金属盘能从SD卡中读取数据。 Echo 的金属焊盘分布

QQ截图20170810195003
于是Barnes通过焊接连接了两个小金属盘,一个连接到他的笔记本电脑,另一个连接到一个SD卡读卡器。然后,他使用亚马逊的自带的功能,从SD卡上加载了自己修改过的Echo“开机加载程序”。这种程序根植于一些硬件设备中,能够自己唤醒操作系统,也能将操作系统的身份验证措施关闭的调整,还能允许他在Echo上安装软件。 虽然焊接需要花费数小时的时间,而且会留下物理证据,连接延伸出的电线也会分布得到处都是,但Barnes表示,随着开发的深入,插上特制的器件就能够直接连接上这些焊盘,轻松地在几分钟内实现相同的效果。事实上,南卡罗来纳州城堡军事学院的一个研究团队的一篇早期论文也能佐证Barnes的说法,论文暗示了黑客可以使用3D打印的器件连接到焊盘上。 Barnes解释说:“只要这个小小的橡胶底部,就可以直接连接这些焊盘了。你可以制造一个可以插上去的器件,这样就不用焊了,而且不会有明显的操作痕迹。” 在自己编写的软件获得了连接上Echo的能力之后,Barnes又编写了一个简单的脚本,可以控制麦克风,并将音频传输到任何指定的远程计算机上。他指出,这样的软件可以轻易地执行其他邪恶的功能,例如利用它作为接入点来攻击网络中的其他部分,窃取用户的亚马逊账号,或者安装其他勒索软件。 Barnes说:“你可以借助它为所欲为,真的。” 简单的绝招 亚马逊已经在最新版本中修复了Barnes发现的Echo的这个安全漏洞。Barnes表示,亚马逊已经在硬件产品上杜绝了这种可能。当WIRED向亚马逊询问对此事的看法时,亚马逊在一份声明中写道:“为了确保产品安全,我们建议客户从亚马逊或可信的零售商处购买Amazon生产的设备,并保持软件更新。” Barnes同意,他的实验主要还是给那些从亚马逊之外的渠道购买Echo的人的一个警告,例如一些二手的Echo可能就被改造过。但他也指出,软件的更新是没法拯救早期的Echo的,因为问题在于硬件的漏洞。 他说,人们应该考虑在公共场所或半公共场合使用Echo的安全隐患,例如拉斯维加斯永利酒店,就计划在每间客房里放置Echo。Barnes说:“在这种情况下,您根本无法知道谁已经连接上Echo了。“可能酒店以前的客人就在里面安装了一些东西,或者清洁工,谁都有嫌疑。”将室内智能服务设备变成间谍工具的想法不仅仅是偏执狂才有的:维基解密发布的文档表明,中情局已经研究出了类似的物理接入技术,旨在将三星智能电视变成窃听设备。 对于那些担心Echo已经遭到改造的人而言,Barnes指出,亚马逊还是留了一手,Echo有一个静音按钮,也是Echo的开关,是恶意软件无法绕过的。他推荐这个办法: “要是这个按钮被关上了,软件是没有办法重启的。”他说。 所以这是他的绝招:“一关则灵。”

继续阅读
英特尔CPU漏洞风波分析

今天科技界的新闻头版,几乎被英特尔内核漏洞的曝光给占满。据称,安全研究人员在英特尔芯片中发现两个关键漏洞,利用漏洞,攻击者可以从App运行内存中窃取数据,比如密码管理器、浏览器、电子邮件、照片和文档中的数据。研究人员将两个漏洞叫作“Meltdown”和“Spectre”,他们还说,1995年之后的每一个系统几乎都会受到漏洞的影响,包括计算机和手机。

iPhone卖的火,但是苹果干不过谷歌亚马逊,为啥?

ABI Research预测,“后智能手机时代”需要全新的、免提的界面,比如那些使用人类声音的界面。这将包括更多人工智能(AI)、增强现实(AR)和虚拟现实(VR)。该研究公司对专利组合、研发支出、收购以及对开源社区做出的贡献进行评估,并对Facebook、微软以及三星等大型科技公司进行了比较。它得出的结论是,亚马逊和谷歌在未来6年将“引领和推动围绕智能手机及其相关生态系统的创新”。

从技术本质来看物联网,如何正确理解?

对于非物联网相关专业的人来说,物联网犹如一个黑箱。他们阅读物联网相关的文章,犹如“咀嚼”天书,其中的专业术语根本无法从字面意思来理解,即使联系上下文,也是“摸不着门道”。其实,对于不少物联网的从业人员和物联网专业的学生来讲,也是如此,局限于原本专业的限制或教科书纯粹的技术描述,“盲人摸象”般地理解物联网,往往并不全面而有所缺失。

只有国内内存在涨涨涨?国内玩家大呼亏爆

这一波涨价最凶的内存并不是海盗船、芝奇等以往的高端品牌,零头的反而是全球最大的内存公司金士顿,以往大家选择金士顿主要是图他们的内存条更便宜一些,但是现在的情况已经变了。为此我们用比价公价追踪了金士顿Fury8GBDDR4-2400内存的海内外市场价格。

人工智能普及的最大障碍:缺少技能熟练的专家

11月6日消息,据VentureBeat报道,尽管人们几乎已经达成普遍共识,承认人工智能(AI)带来了革命性的好处,但市场研究机构Gartner最近调查显示,近60%的被调查企业还没有充分利用AI带来的好处。也许更令人感到惊讶的是,只有略多于10%的被调查企业部署了某种AI解决方案。