智能音箱作為市面上最熱門的物聯(lián)網(wǎng)設(shè)備之一,其安全性也越發(fā)受到人們的關(guān)注。
近日,騰訊安全團(tuán)隊(duì)Tencent Blade Team發(fā)現(xiàn)并報(bào)告了谷歌Home智能音箱多個(gè)全新漏洞,并在無(wú)需用戶交互的情況下成功破解。谷歌安全團(tuán)隊(duì)第一時(shí)間致謝并確認(rèn)此漏洞為高危安全漏洞,這也是谷歌Home首個(gè)對(duì)外確認(rèn)的無(wú)接觸攻破安全漏洞。
此前在全球黑客大會(huì)DEFCON上,Tencent Blade Team還現(xiàn)場(chǎng)演示了如何黑入亞馬遜Echo音箱,實(shí)現(xiàn)遠(yuǎn)程控制、竊聽、錄音。據(jù)悉,素有“黑客世界杯”之稱的Mobile Pwn2own將于11月中旬在日本開幕,Tencent Blade Team雖未參賽,卻已成功拿下亞馬遜Echo和谷歌Home這兩個(gè)積分最高的物聯(lián)網(wǎng)比賽項(xiàng)目。
從亞馬遜Echo到谷歌Home
Tencent Blade Team由騰訊安全平臺(tái)部創(chuàng)立,致力于互聯(lián)網(wǎng)前沿技術(shù)安全研究,物聯(lián)網(wǎng)便是其重點(diǎn)研究方向之一。今年8月,他們首發(fā)了對(duì)亞馬遜智能音箱Echo的研究成果,通過(guò)多種方式完成了對(duì)Echo的破解。因其破解難度之高和影響范圍之大,吸引了國(guó)內(nèi)外眾多安全專家的廣泛關(guān)注。
相比亞馬遜Echo,谷歌Home使用了完全不一樣的操作系統(tǒng)與更高強(qiáng)度的安全防護(hù)機(jī)制,至今還未有團(tuán)隊(duì)利用漏洞在谷歌Home上執(zhí)行惡意代碼實(shí)現(xiàn)無(wú)接觸攻破。而此次Tencent Blade Team發(fā)現(xiàn)的漏洞,能讓攻擊者在一定條件下遠(yuǎn)程執(zhí)行惡意代碼,在無(wú)需任何用戶交互的情況下實(shí)現(xiàn)竊取資料與隱私,靜默錄音等。
值得一提的是,Tencent Blade Team成功攻破的亞馬遜Echo和谷歌Home,恰巧就是今年即將開賽的“黑客世界杯”Mobile Pwn2own上,兩個(gè)積分最高的物聯(lián)網(wǎng)比賽項(xiàng)目。
Pwn2own自2007年舉辦至今,是全世界最著名、獎(jiǎng)金最豐厚的黑客大賽,通過(guò)黑客攻擊挑戰(zhàn)來(lái)完善自身產(chǎn)品。今年11月即將在日本舉辦的Mobile Pwn2own比賽,除了傳統(tǒng)的智能手機(jī)外,首次加入了IoT比賽項(xiàng)目,其中就包括了目前全球銷量最高的亞馬遜Echo與谷歌Home智能音箱,Tencent Blade Team雖未參賽,但提前破解無(wú)疑也說(shuō)明了其在物聯(lián)網(wǎng)研究上的前瞻性與高超實(shí)力。
安全之路仍任重道遠(yuǎn)
目前,Tencent Blade Team已經(jīng)向谷歌報(bào)告此漏洞詳情,谷歌安全團(tuán)隊(duì)第一時(shí)間致謝并確認(rèn)此漏洞為高危安全漏洞,同時(shí)表示將在近期全線推送安全更新。據(jù)悉,此次漏洞不僅影響谷歌Home智能音箱,還影響目前所有主流操作系統(tǒng)的許多重量級(jí)軟件,Tencent Blade Team也將按照負(fù)責(zé)的漏洞報(bào)告流程將相關(guān)漏洞修復(fù)方案報(bào)告給其它受影響廠商,便于廠商在新版本中修復(fù)漏洞。
隨著互聯(lián)網(wǎng)科技的迅猛發(fā)展,人們的生活日趨智能,但相應(yīng)的安全研究卻遠(yuǎn)沒達(dá)到與其發(fā)展速度和規(guī)模相匹配的水平,安全之路仍任重道遠(yuǎn)。這也是騰訊安全平臺(tái)部成立Tencent Blade Team的原因所在。
在過(guò)去的兩年時(shí)間里,Tencent Blade Team已經(jīng)發(fā)現(xiàn)了谷歌、蘋果、亞馬遜、微軟等多個(gè)國(guó)際知名廠商80多個(gè)安全漏洞,得到互聯(lián)網(wǎng)行業(yè)、廠商以及國(guó)際安全社區(qū)的廣泛認(rèn)可。他們旨在通過(guò)這些對(duì)互聯(lián)網(wǎng)前沿攻防技術(shù)的研究,提升行業(yè)安全意識(shí)的同時(shí),也為企業(yè)安全戰(zhàn)略的提前布局提供重要參考。
【來(lái)源:騰訊科技】
