RU EN
Безопасность — это процесс, а не результат.
Брюс Шнайер
Специалист по компьютерной безопасности
Злоумышленники могут использовать колонку Amazon Echo для прослушивания
03 Авг. 2017

Экспертам удалось заполучить полный доступ к устройству Amazon Echo и установить бэкдор для удаленного управления колонкой.

Майк Барнс, исследователь из MWR Infosecurityопубликовалподробности взлома Amazon Echo. Обнаруженная в устройстве уязвимость позволяет злоумышленнику с физическим доступом заполучить права суперпользователя в базовой операционной системе Linux и установить вредоносное ПО. Для атаки используется незащищенная отладочная панель, предназначена для просмотра процесса загрузки и настройки устройства.

Уязвимость состоит в том, что устройство Echo сначала пытается загрузиться с SD-карты, подключенной к отладочной панели. Правильно отформатированная SD-карта с X-loader и U-Boot в определенном разделе позволяет заполучить полный доступ к файловой системе устройства.

В качестве демонстрации уязвимости исследователи установили бэкдор для удаленного управления устройством, а затем перенаправили весь звуковой поток данных, полученный с микрофона, на удаленный компьютер используя протокол передачи данных TCP/IP.

Эта уязвимость устранена в последней версии прошивки Amazon Echo, однако модели 2015 и 2016 года по-прежнему уязвимы.

securitylab.ru

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.