如果您曾经担心智能家居设备的安全性,那么最新的AmazonEcho安全漏洞不会让您感觉更好。研究人员已经找到了一种方法来强制Echo扬声器破解自己,可以这么说,使用设备自己的扬声器发出语音命令。
伦敦皇家霍洛威大学和西西里卡塔尼亚大学的研究人员发现,通过扬声器本身播放命令,可以让Alexa扬声器执行任意数量的功能。
被称为“AlexavsAlexa”的黑客攻击只需接近易受攻击的Echo设备几秒钟即可执行。研究人员能够使用语音命令将Echo与蓝牙设备配对,并且只要蓝牙设备保持在范围内,攻击者就可以使用该设备发出Echo命令。
只要命令包含唤醒词(Alexa或Echo),就可以利用Echo来购买产品、控制智能家居设备,甚至解锁门。研究人员甚至添加了一个“是”命令,该命令将在六秒后自动播放,以防Echo在继续之前需要口头确认。
另一个版本的攻击使用恶意技能或无线电台来“感染”Echo并使其容易受到攻击者的语音命令的攻击。第三个漏洞还启用了一种静默运行的技能,攻击者拦截并回复命令,就好像他们在与Alexa交谈一样。
在这些情况下,攻击者可以使用文本转语音应用程序将语音命令流式传输到Echo。该攻击还依赖于一种称为“全语音漏洞”的东西,它阻止了Echo在听到唤醒命令后自动降低音量。
幸运的是,作为对这项研究的回应,亚马逊发布了许多补丁来修复其中的几个弱点。这意味着不再可能使用Alexa技能来自我唤醒蓝牙攻击所依赖的设备,或者使用无线电台来传递自我发出的命令。
亚马逊还强调,它有“系统来持续监控实时技能以发现潜在的恶意行为,包括无声的重新提示。”任何试图提供此功能的Alexa技能要么在认证期间被阻止,要么“迅速停用”。
但是,尽管采取了所有措施来防止误用,但这并不是Echos和其他语音助手第一次像这样被抓到。例如,过去的案例包括工作人员能够收听用户音频和获准的应用程序窃听用户以试图通过网络钓鱼获取密码。
在这种情况下,研究人员提前发现了漏洞,亚马逊修复了主要问题,但情况并非总是如此。
因此,如果您家中有最好的Alexa设备之一,您可能需要听从发现这组特定问题的研究人员的建议,并在设备不使用时将其静音。不要错过我们自己列出的5种保护Alexa设备的方法。