正如趋势科技的安全研究员 Stephen Hilt 刚刚在一份报告中所展示的那样,Sonos 或 Bose 连接扬声器可以带来比我们想象的更多的惊喜。关系。只要安装它们的本地网络存在漏洞或对外部连接开放,黑客就可以利用它们收集个人信息、播放音频文件、定位受害者并简单地使设备崩溃。
从攻击者进入本地网络的那一刻起,他就可以毫无问题地连接到扬声器并访问大量信息和命令。它可以研究目标的音乐偏好并提取与音乐流媒体服务相关的个人电子邮件地址。
根据趋势科技的说法,此类信息将允许攻击者伪造诱杀电子邮件以提取其他信息(网络钓鱼)。
扬声器还存储附近 Wi-Fi 网络的标识符。因此,通过使用专门的目录,可以或多或少地大致找到它们。此外,攻击者可以知道正在播放的歌曲,从而知道用户是否在场、他什么时候睡觉等。例如,这两条信息可用于策划入室盗窃。
最后,这些扬声器允许您播放任何音频文件。小恶作剧者会趁机用奇怪的声音让受害者大吃一惊,或者为什么不询问附近的 Google 或 Alexa 虚拟助手。在某些情况下,访问扬声器控件还会导致软件崩溃。
识别可能可触及的外壳并不是很困难。只需在 Shodan.io 网站上进行搜索,即可立即获得数千个设备的列表。接到警报后,Sonos 发布了一个补丁,以防止软件崩溃并限制设备上可访问的个人数据量。提问者有线然而,制造商并不认为存在任何危险,因为要执行趋势科技提到的攻击,已经需要访问本地网络。
