返回

蓝牙黑客影响2000万亚马逊Echo和谷歌家庭设备

发布时间:2022-09-24 05:33:10 393
# 服务器# 设备# 信息# 入侵# 缺陷
amazon-alexa-hacking-bluetooth
还记得蓝本吗?

谷歌主页亚马逊回声.

据估计,在发现这一毁灭性威胁的过程中,一些操作系统更新频率低于智能手机和台式机的物联网和智能设备也容易受到蓝本攻击。

BlueBorne是一种复杂的攻击,它利用了总共八个蓝牙实现漏洞,使目标设备范围内的攻击者能够运行恶意代码、窃取敏感信息、完全控制并发起中间人攻击。
 
更糟的是什么?触发蓝精灵攻击不需要受害者点击任何链接或打开任何文件,所有这些都不需要用户交互。此外,大多数安全产品可能无法检测到攻击。

更可怕的是,一旦攻击者控制了一台支持蓝牙的设备,他/她就可以感染同一网络上的任何或所有设备。

这些蓝牙漏洞在9月份由谷歌(Google)针对Android、微软(Microsoft)针对Windows、苹果(Apple)针对iOS在披露前一年修补,而Linux发行版也在披露后不久修补。

然而,这50亿台设备中有许多尚未修补,并可能通过这些缺陷受到攻击。

2000万亚马逊Echo&易受蓝本攻击的谷歌家庭设备

最初发现这个问题的物联网安全公司Armis现在披露,估计有2000万亚马逊Echo和谷歌家庭设备也容易受到利用BlueBorne漏洞的攻击。

如果我拆分,全球销售的1500万亚马逊Echo和500万谷歌家用设备可能会受到BlueBorne的威胁。
 
Amazon Echo受到以下两个漏洞的影响:
  • Linux内核中存在远程代码执行漏洞(CVE-2017-1000251)
  • SDP服务器中存在信息泄露漏洞(CVE-2017-1000250)
由于不同的Echo变体使用不同的操作系统,其他Echo设备会受到Linux或Android中发现的漏洞的影响。

然而,谷歌家庭设备受到一个漏洞的影响:
  • Android蓝牙协议栈中的信息泄露漏洞(CVE-2017-0785)
该安卓漏洞还可被利用,造成拒绝服务(DoS)情况。

由于无法在任何一个语音激活的个人助理上禁用蓝牙,因此受影响设备范围内的攻击者可以轻松发起攻击。

Armis还发布了一段概念验证(PoC)视频,展示了他们是如何入侵和操纵亚马逊Echo设备的。

这家安全公司将调查结果通知了亚马逊和谷歌,两家公司都发布了补丁,并为亚马逊Echo和谷歌Home发布了自动更新,以修复蓝本攻击。

亚马逊Echo用户应确认其设备运行的是v591448720或更高版本,而谷歌尚未提供任何关于其版本的信息。

 

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线