亚马逊Echo Show因过时代码在黑客竞赛种被成功攻击

最新一次的Pwn2Own黑客竞赛凸显了智能家居设备的一个极为常见的缺陷。

安全研究团队Fluoroacetate通过利用其“修补程序漏洞”（即使用已在其他平台上修补的较旧软件）入侵了Amazon Echo Show 5。

竞赛主办单位零日倡议的负责人布赖恩·戈伦奇(Brian Gorenc)向TechCrunch解释说，该智能屏幕使用的不是最新版本的Google Chromium浏览器引擎，使其容易受到攻击。

Fluoroacetate利用这个过时的代码，使用整数溢出的JavaScript漏洞在设备连接到恶意WiFi网络时劫持了该设备。

戈伦茨补充说，这个补丁漏洞是许多物联网竞赛中黑客攻击的“共同目标”。

这是参赛者第一次瞄准在家庭自动化设备，除此之外还有许多“第一次”。

Fluoroacetate还通过其网络浏览器的JavaScript漏洞破解了索尼X800G电视（Pwn2Ow的首个电视目标），而Flashback团队则利用缓冲区溢出漏洞破解第一个路由器，从而获得NETGEAR的夜鹰R6700路由器的控制权。

不过，并不是人人都能成功——Facebook门户经受住了黑客的攻击。

亚马逊公司表示，正在“调查”Echo Show5黑客行为，并将采取“适当步骤”防护其设备，尽管它没有详细说明它将采取什么措施，以及什么时候采取措施。

可以肯定地说，这个结果证明了生产智能家居设备所带来的安全风险。

公司可能需要分叉软件（从而增加额外的工作）来优化联网设备，但如果开发人员不致力于更新特殊代码，也会带来新的缺陷。

由于文章直接放资源容易被删除，请关注WX公众号“qtfyfuli”获取。