据 Wired 报道,趋势科技的安全研究人员,刚刚在部分型号的 Sonos 和 Bose 扬声器上发现了漏洞,或可导致设备被劫持。这些扬声器被别有用心的人访问到之后,可能被用来播放诡异的声音、执行 Alexa 语音命令、或者播放理查德·艾斯利的专辑。值得庆幸的是,实际上只有小部分型号的扬声器受到影响,包括 Sonos Play:1、Sonos One、以及 Bose SoundTouch 。
研究人员指出,这些扬声器的问题在于,当连接到一个错误配置的网络上时,就能够在互联网上被轻易地扫描到。
扫描者在发现了扬声器之后,可借助其 API 与应用沟通,然后让扬声器播放某个特定网址上的任意音频文件。
趋势科技表示,大约有 2500 ~ 5000 台 Sonos 设备、以及 400 ~ 500 台 Bose 设备向黑客敞开了这个音频入侵漏洞。
Sonos 在回复给 Wired 的一份电子邮件中表示:
我司正在深入调查此事,报道引用的是一个错误配置的用户网络。仅一小部分客户受到公开网络扫描漏洞的影响,我们不推荐这种类型的设置项。
虽然 Sonos 开放了自家的 API 程序,但这个漏洞可导致的后果应该严重不到哪里去,顶多被用来搞一些古怪的恶作剧。
比如一位妇女表示,她家的 Sonos 扬声器在半夜莫名地放起了玻璃破碎和婴儿啼哭的声音。(当然,吓人也是不对的)
最后,其实早在 2014 年的时候,就有一名开发者演示过一种类似的“交互式闹鬼(Ghosty)恶作剧”。
[编译自:TheVerge]