如果你的智能音箱突然高歌：不要奇怪！因为它们可能被黑了

“用指尖改变世界”

随着物联网技术的发展，越来越多的电子产品生产厂商开始转向于开发及制造能够与互联网连接的物联网设备。这些产品深受消费者的喜爱，但在安全专家的眼里，这些产品很容易受到安全问题的影响。

为了了解物联网设备的安全性以及攻击者能在多大程度上操纵这些设备，趋势科技的高级威胁研究员Stephen Hill和他的团队最近对一些流行的物联网设备(智能音响)进行了测试。

测试的对象包括Sonos Play:1和Bose SoundTouch，而测试的结果是这两款产品都存在严重的安全漏洞，暴露了用户数据以及可用于攻击的其他相关信息。

Sonos Play:1配置页面在线暴露

Hill解释说，Sonos Play:1音响的安全问题来自于它的配置页面。不需要任何形式的身份验证就可以轻松访问，包括对音响核心功能的访问。

任何能够连接到互联网的人都可以通过“http：// [设备IP地址]：1400 / status ”对Sonos Play:1音响的配置页面进行访问，而攻击者则能够以此在本地网络中收集信息或者指定音响播放任意音频文件。

而带来的直接后果就是，攻击者可以利用这些信息，例如用户的音乐喜好来发送定制的网络钓鱼电子邮件。

这并非只是理论上的推断，有两名Sonos Play:1用户就曾在Sonos论坛上抱怨说，自己的音响莫名其妙地会播放一些幽灵般的声音以及爆炸声。

Bose SoundTouch也存在类似的问题

在趋势科技的报告中，Bose SoundTouch也被描述存在类似的安全问题。类似的配置页面以及API暴露，使得攻击者能够收集用户数据或者播放音频。

在测试中，Hill还使用了Shodan搜索引擎来查找那些在互联网暴露的设备。根据搜索结果，约有4000到5000台Sonos Play:1和约500台Bose SoundTouch被发现。

趋势科技就这些发现联系了两个厂家，Sonos迅速对此做出了反应，并修复了安全漏洞。而Bose目前还未就此做出任何回应。

Hill建议，最好不要将智能音响连接到互联网上，而只限于在本地网络中访问。并且，无论对于任何产品，我们都应该对其配置页面设置高强度的登录密码，它能够确保攻击者被阻挡在登录页面之外。

本文由黑客视界综合网络整理，图片源自网络;转载请注明“转自黑客视界”，并附上链接。