圖片來源: 

趨勢科技

趨勢科技在本周三(12/27)發表了《目標攻擊之音》(The Sound of a Targeted Attack)案例分析報告,指出Sonos Play:1與Bose SoundTouch兩款可連網的智慧喇叭暗藏許多安全漏洞,將允許駭客存取使用者資訊,甚至是惡作劇地撥放奇怪的聲音,且其他智慧喇叭或物聯網(IoT)裝置可能都含有類似的漏洞。

趨勢的資深威脅研究人員Stephen Hilt指出,過去許多有關智慧喇叭的研究都鎖定如何取得Amazon Echo或Google Home等聲控喇叭的掌控權,而趨勢則是針對連網的智慧喇叭進行調查,發現它們內含嚴重程度不一的安全漏洞,其中,允許任何人存取的開放埠將讓駭客取得與該裝置同步的使用者資訊、同一網路上的裝置列表或共享文件匣,還能取得裝置的BSSID資訊,進一步檢視裝置的活動,甚至干預裝置所播放的內容。

其實早就有智慧喇叭用戶經歷了被駭的過程。一名Sonos用戶今年11月透過論壇抱怨,她所購買的Sonos喇叭不時會撥放奇怪的聲音,像是開門的聲音、打破盤子或玻璃的聲音,或是嬰兒的哭聲等,讓她感到毛骨悚然。

而趨勢在Sonos Play:1上所發現的安全漏洞之一即為阻斷服務(DoS),研究人員發現Sonos喇叭的配置頁面並未嵌入認證機制,代表任何人都能存取與變更,因此,駭客可自該介面蒐集使用者資訊、裝置資訊、所在的網路資訊,或是讓該裝置播放特定的聲音檔。

此外,當取得諸如電子郵件或喜好等使用者資訊之後,駭客還能發送客製化的網釣電子郵件,以獲得更多的使用者機密資訊。

趨勢在上述兩款智慧喇叭中都發現了類似的漏洞,當中的Sonos已經修補,Bose則尚未回應。不過,趨勢強調,該公司只是利用這兩款喇叭進行研究,相信其他智慧喇叭或是物聯網裝置都可能被波及,若是這些裝置連結了企業網路,相關的風險及損失都會更高。

Hilt表示,當人們進入一個連結更緊密的世界時,不管是製造商、消費者或IT管理人員都必須採取「安全第一」的思考模式,必須了解保護物聯網所連結的個人資訊,以及創造容易使用的行動程式是同等重要的。

 

示範說明影片:

 


Advertisement

更多 iThome相關內容