2015年、2016年销售的旧版Amazon Echo,因URAR埠设计于底部、加上可从外部SD卡开机,经过改造可在不留痕迹下植入恶意软件,远程访问用户验证数据,或是将麦克风搜集的语音数据传送到外部。
智能喇叭Echo被视为亚马逊(Amazon)攻城略地、实现智能家居的利器,但有研究人员指出,不肖人士也可能将之改造成窃听用户的间谍工具。
研究人员Mark Barnes指出,Echo的URAR端口公开暴露于装置底部,加上可从外部SD卡开机的硬件设计,使攻击者得以改写Echo韧体,并在外表不留痕迹情况下植入恶意软件,藉此进行各种在一般计算机上的攻击行为,包括远程访问Echo,窃取用户验证信息,甚至利用麦克风直接收音后传到外部网站上。
不过这种攻击方式较有局限,一来是攻击者必须直接接触到受害者的Echo。二来是研究人员描述的攻击法,仅适用于2015年及2016年的旧版Echo。The Verge报导,今年起新版Echo硬件做了改良,使SD卡无法再透过SPI和Echo作用,无法再以SD卡开机,减少了入侵管道。
分析师预估,目前Echo在全球已卖出超过700万台。亚马逊向来建议使用者不要买来路不明的Echo,最好向亚马逊及值得信赖的经销商购买产品。
事实上,随着物联网的运用日愈广泛,对消费者隐忧也构成愈来愈大的威胁。除了Echo这类智能喇叭,研究人员发现,智能电视、打印机、连网玩具、监视器,都可能成为家中的间谍工具。
(转载)
