隨著蘋(píng)果正式發(fā)布HomePod宣布入主智能音箱市場(chǎng)，無(wú)論從國(guó)外還是國(guó)內(nèi)，都掀起了一股智能音箱的熱潮。國(guó)內(nèi)的廠商像出門(mén)問(wèn)問(wèn)、Rokid、喜馬拉雅及小米都紛紛推出了自己的AI音箱產(chǎn)品，眾籌也好，量產(chǎn)也好，都充分表明了智能音箱將是物聯(lián)網(wǎng)時(shí)代的下一個(gè)爆點(diǎn)。

在改善我們生活方式，讓我們的日常生活越來(lái)越方便的同時(shí)，智能音箱卻也出現(xiàn)了隱患。近日，英國(guó)安全研究人員Mark Barnes展示了入侵亞馬遜Echo的技術(shù)。通過(guò)這項(xiàng)技術(shù)，任何人都可以在Echo上安裝惡意軟件，并將設(shè)備的語(yǔ)音輸入發(fā)送到遠(yuǎn)程服務(wù)器上。攻擊者需要直接接觸Echo，而且這個(gè)方法只適用于2017年之前的設(shè)備。這個(gè)漏洞無(wú)法修補(bǔ)，同時(shí)攻擊者也不會(huì)留下任何的證據(jù)。

那么Mark Barnes發(fā)現(xiàn)的舊款Echo設(shè)備上的漏洞是什么呢？把Echo的底座去掉，可以看到設(shè)備底部有一些小的金屬墊。這些金屬連接著Echo內(nèi)部的硬件。通過(guò)其中一個(gè)金屬墊可以讀取SD卡上的數(shù)據(jù)。Barnes利用了上面的兩個(gè)金屬墊，分別連接到電腦和讀卡器上，之后裝上新的Bootloader，關(guān)閉了系統(tǒng)的安全機(jī)制，從而安裝惡意軟件。

因?yàn)榇巳肭址椒ㄊ怯布肭?，而并非是軟件的系統(tǒng)bug，所以通過(guò)刷新固件等方法是無(wú)法修復(fù)的。目前新款的Echo已經(jīng)解決了這個(gè)問(wèn)題，但是舊款是無(wú)法通過(guò)軟件修補(bǔ)的。Barnes警告說(shuō)，目前在舊版的Echo上，很多第三方銷(xiāo)售會(huì)安裝惡意軟件，所以盡量不要在公共場(chǎng)合像賓館酒店房間等場(chǎng)所使用Echo設(shè)備。“在那種情況下，你無(wú)法控制接觸設(shè)備的人”Barnes說(shuō)，“曾經(jīng)住宿的客人可能安裝了什么東西，或者是清潔工或其他什么人。”

不過(guò)Barnes針對(duì)舊款Echo也提供了一個(gè)防范的方法，惡意軟件無(wú)法控制Echo上的“靜音”按鍵，也就是說(shuō)，如果“靜音”模式打開(kāi)的話，黑客將無(wú)法通過(guò)軟件打開(kāi)語(yǔ)音。對(duì)于那些使用舊款Echo的yoghurt來(lái)說(shuō)，這確實(shí)是一個(gè)行之有效的防范方法。