blog

2000万Amazon Echo,谷歌家庭设备面临蓝色缺陷的风险

今年早些时候发现影响蓝牙设备的一些严重安全漏洞正在困扰基于人工智能的语音激活扬声器,包括Google Home和Amazon Echo。安全公司Armis,同一组首次披露蓝牙漏洞的组织,在9月份被称为Blueborne,发布了一项新的警告,即目前有多达1500万台Amazon Echo设备和500万台Google Home扬声器面临风险。根据研究人员的说法,Amazon Echo容易受到与Blueborne相关的两个主要漏洞的影响。第一个是远程代码执行漏洞,它允许攻击者在设备上运行任意代码,这可能会迫使它在没有设备所有者的情况下执行恶意操作。在YouTube Armis研究人员发布的一个演示视频中,他们展示了这次攻击。在一分钟之内,他们就能够获得AI演讲者的顶级特权,并在用户与之交互时更改Alexa的响应。困扰Echo的第二个漏洞是与服务发现协议(SDP)服务器相关的信息泄漏漏洞,该服务器用于搜索并连接其他蓝牙设备。谷歌自己的人工智能扬声器Google Home也存在类似的缺陷。它被发现有一个信息泄露漏洞,源自搜索巨头Android操作系统。由Alexa提供支持的许多其他设备受到各种漏洞的困扰,具体取决于为设备供电的操作系统。据Armis报道,一些设备使用不同的Linux和Android版本。安全研究人员警告称,影响语音扬声器的Blueborne漏洞非常严重,因为这些设备为用户提供了很少的办法来阻止攻击者利用它们。亚马逊,Alexa扬声器和谷歌自己的产品系列几乎没有用户界面,并且没有为用户提供完全关闭蓝牙连接的选项,这意味着除非拔下或更新设备,否则设备总是处于危险之中。这种安全风险不仅对于坐在卧室里的Echo或Home扬声器的普通人来说也是一个问题,对组织来说也是如此。根据Armis进行的一项调查,82%的公司在其公司工作区中都有一个Echo设备。这使他们面临各种各样的攻击,从将恶意软件传播到连接到Echo的设备到窃取敏感信息等等。幸运的是,Armis现在披露安全漏洞的原因是因为Google Home和Amazon Echo设备都有可用的补丁。该补丁是作为自动更新的一部分进行部署的,因此只要设备已插入并连接到互联网,它就应该已收到更新。 ,“客户信任对我们很重要,我们认真对待安全。客户不需要采取任何行动,因为他们的设备将使用安全修复程序自动更新,“亚马逊说这个漏洞。该攻击是Amazon Echo中第一个已知的严重远程漏洞。

查看所有