新型的攻击方式能够使亚马逊设备攻击自己
发布时间:2022-03-23 22:41:49 所属栏目:安全 来源:互联网
导读:来自伦敦大学和卡塔尼亚大学的研究人员发现了如何将亚马逊Echo设备对自己造成破坏。 这种攻击方式被称为 Alexa vs. Alexa,它利用了研究人员所发现的 命令自发漏洞,通过预先录制信息,当该信息在第三代或第四代Echo扬声器上播放时,会使得该扬声器对自己
来自伦敦大学和卡塔尼亚大学的研究人员发现了如何将亚马逊Echo设备对自己造成破坏。 这种攻击方式被称为 "Alexa vs. Alexa",它利用了研究人员所发现的 "命令自发漏洞",通过预先录制信息,当该信息在第三代或第四代Echo扬声器上播放时,会使得该扬声器对自己进行操作。 为了能够让设备播放攻击者制作的录音,攻击者需要一个在蓝牙配对范围内的智能手机或笔记本电脑。与基于互联网的攻击不同,这种情况下需要接近目标设备进行攻击。研究人员指出,一旦配对成功,蓝牙设备就可以随时与Echo连接或者断开,不需要再次执行配对过程,这也就克服了物理空间上的障碍。因此,实际的攻击可能会发生在蓝牙配对的几天后。 报告称,攻击者也可以使用互联网电台,像命令和控制服务器一样向目标Echo发出信号。这种方法可以进行远程操作,并可同时控制多个设备,但需要其他额外的操作,比如诱使目标用户将恶意的Alexa应用程序下载到亚马逊设备中。 利用Alexa对Alexa进行攻击,攻击者可以篡改下载到设备上的应用程序,进而拨打电话、在亚马逊上下订单、窃听用户信息、控制用户家中的其他连接设备等等。 由于它们会一直监听自己的唤醒词,同时它们也经常与其他设备互联,所以智能音箱就很容易出现各种独特的安全漏洞。特别是Echo系列设备,该设备有很高的隐私安全风险,从麦克风就可以检测到人们在附近智能手机上发的短信,并且该音频记录会被无限期地存储在公司服务器上。 Netenrich公司的安全研究人员表示,蓝牙连接在距离要求上的不足,或者必须采用一些欺骗手段使用户下载恶意软件才可以进行攻击,以上这些限制并不能消除该设备的危害。他通过电子邮件写道,那些生活在密集城市的人有很大的风险。 这项研究也促使亚马逊很快修补了该产品的漏洞,在此时显现出了拥有强大的漏洞响应处理能力的优势。 Bambenek认为,厂家很难根据犯罪分子的意图来测试新的技术,因为即使是测试人员也可能像犯罪分子一样去思考提出产品的测试方案(这对社会是件好事)。 (编辑:源码门户网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |