Злоумышленники могут использовать колонку Amazon Echo для прослушивания

Экспертам удалось заполучить полный доступ к устройству Amazon Echo и установить бэкдор для удаленного управления колонкой.

Майк Барнс, исследователь из MWR Infosecurity опубликовал
подробности взлома Amazon Echo. Обнаруженная в устройстве уязвимость позволяет злоумышленнику с физическим доступом заполучить права суперпользователя в базовой операционной системе Linux и установить вредоносное ПО. Для атаки используется незащищенная отладочная панель, предназначена для просмотра процесса загрузки и настройки устройства.

Уязвимость состоит в том, что устройство Echo сначала пытается загрузиться с SD-карты, подключенной к отладочной панели. Правильно отформатированная SD-карта с X-loader и U-Boot в определенном разделе позволяет заполучить полный доступ к файловой системе устройства.

В качестве демонстрации уязвимости исследователи установили бэкдор для удаленного управления устройством, а затем перенаправили весь звуковой поток данных, полученный с микрофона, на удаленный компьютер используя протокол передачи данных TCP/IP.

Эта уязвимость устранена в последней версии прошивки Amazon Echo, однако модели 2015 и 2016 года по-прежнему уязвимы.