用户投稿
关于腾讯安全团队破解亚马逊智能音箱Echo的消息,这通常指的是安全研究人员在测试和评估智能设备的安全性时发现的安全漏洞。以下是一些可能的细节和背景信息:
1. "安全漏洞":腾讯安全团队可能发现了Echo智能音箱的一个或多个安全漏洞,这些漏洞允许未经授权的远程访问和窃听。
2. "远程窃听和录音":如果漏洞确实存在,那么攻击者可能能够远程控制Echo,获取用户对话,并对其进行录音。
3. "研究目的":此类研究通常是为了提高公众对智能设备安全性的认识,并推动制造商改进其产品的安全措施。
4. "亚马逊的回应":亚马逊可能会对此类发现做出回应,包括发布固件更新来修复漏洞,并加强其设备的安全性。
5. "影响范围":这种类型的漏洞可能会影响所有使用相同软件版本的Echo设备。
6. "用户隐私":这一事件再次引发了关于智能设备如何处理用户隐私的讨论,特别是在数据收集和存储方面。
需要注意的是,这种类型的报道通常基于安全研究人员的发现,而不是实际的黑客攻击。以下是一些可能的后续步骤:
- "公开报告":腾讯安全团队可能会发布一份详细的报告,描述漏洞的细节和如何利用它。
- "制造商修复":亚马逊可能会采取措施修复漏洞,并通知用户更新他们的设备。
- "监管机构介入":在某些情况下,监管机构可能会介入,以确保制造商遵守数据保护法规。
相关内容:
北京时间8月13日,在美国拉斯维加斯举行的第26届全球黑客大会Defcon上,来自腾讯安全平台部的Tencent Blade Team,现场演示了如何破解全世界最畅销的智能音箱——亚马逊智能音箱Amazon Echo。
现场,Tencent Blade Team成功利用亚马逊Echo系统中的多个漏洞完成破解,实现了远程窃听。
据悉,腾讯已在今年5月将完整的漏洞细节报告给了亚马逊安全团队,亚马逊已经在今年7月对所有漏洞全部修复,并对Echo软件进行了自动更新。
在人工智能和物联网技术飞速发展的今天,人们可以通过纯语音聊天的方式与智能音箱进行互动,智能音箱就可以帮助用户打电话、叫车、预定行程,还能通过语音交互“指挥”其他硬件,如控制照明开关、家用电器、甚至智能门锁等。
Tencent Blade Team方面表示,因为智能音箱具备监听的功能特性,一直以来人们也十分担心其安全性,一旦智能音箱被黑客攻击,人们的隐私安全将受到威胁,所以选择了全球用户量最大的亚马逊Echo作为研究目标。
作为全世界最受欢迎的智能音箱之一,亚马逊安全团队给Echo设置了多重严密的安全防御机制,包括通信流量加密与认证、防火墙、严格的SELinux安全策略等。因此,长期以来,亚马逊的产品一直处于安全研究人员的“高难度黑名单”上。
但在物联网中,任何智能设备都可以连接到互联网并产生相互交互。这意味着,一旦其中某一个设备成为黑客攻击目标,攻破后将对整个物联网造成致命威胁。
这次对于亚马逊Echo智能音箱的破解,正是基于该原理。
经过数月的研究,研究团队发现,一个名为whad(whole-home audio daemon)的系统程序会开放端口,允许多个亚马逊Echo设备相互连接,并且拥有root权限,在系统严格的安全策略限制下,仍然可以访问网络与通过mediaserver进行录音与播放音频。经过分析,这个程序存在堆溢出与信息泄露漏洞,利用这些漏洞成功实现在局域网获取Echo的有限制的root权限。
Tencent Blade Team表示,利用亚马逊允许旗下多个设备互联的这一系统机制,将植入攻击程序的恶意设备绑定到同个账户下,就能实现对亚马逊Echo智能音箱的破解。经过多次试验,Tencent Blade Team不仅可以远程控制亚马逊Echo进行录音,还能将录音文件通过网络发送给远程服务器。
Tencent Blade Team表示,该漏洞存在于所有第二代亚马逊Echo设备,是否适用于其他厂商的智能音箱设备,他们还在研究中。
亚马逊表示对安全十分重视,感谢腾讯协助修复这些安全漏洞,“亚马逊Echo用户无需采取任何措施,因为他们的设备已使用安全修复程序自动更新。”
“科技的发展从来都是把双刃剑,针对物联网的安全研究却远没达到与其发展速度和规模相匹配的水平。我们公开对这些智能设备的研究,也是希望引起大家对物联网安全的关注。”Tencent Blade Team负责人表示。
DefCon素有安全界“奥斯卡”之称,是全球安全领域最具影响力、也是历史最悠久的顶级会议之一,今年吸引超过数万人出席。
Tencent Blade Team由腾讯安全平台部创立,专注于前沿安全攻防技术研究,致力于将安全技术前沿领域的研究成果广泛应用于腾讯公司各个业务的互联网安全之中。在过去的两年时间里,Blade发现了谷歌、苹果、亚马逊、微软等多个国际知名厂商80多个安全漏洞。
微信扫一扫打赏
支付宝扫一扫打赏
