部分Sonos及Bose扬声器爆安全漏洞，被黑客入侵后发出特定音频

Dec

28

正如Wired报告的那样，黑客正在使用部分Sonos及Bose扬声器正在利用他们发出幽灵般的声音。

趋势科技的研究人员发现，某些型号的Sonos和Bose扬声器存在安全漏洞。正如Wired报告的那样，黑客正在使用部分Sonos及Bose扬声器正在利用他们发出幽灵般的声音。Alexa命令以及... Rick Astley也被黑客利用。

报告显示，实际上只有Sonos和Bose两家公司的一小部分扬声器受到影响，包括一些Sonos Play：Sonos One和Bose SoundTouch。黑客只需要将扬声器连接到错误配置的网络和简单的网络扫描，一旦通过扫描发现扬声器，就可以利用它用于与应用对话的API来告诉扬声器播放托管在特定URL的任何音频文件。在所有型号中，趋势科技发现有2500到5000个Sonos设备和400到500个Bose设备可以进行音频窃听。

Sonos在一封电子邮件中告诉Wired，它正在进一步解决这个问题，但对于用户网络的错误配置，我们不建议这种类型的设置为我们的客户，因为这可能会影响将设备暴露在公共网络中的极少数客户。”

尽管有人可能收集诸如IP地址和其他连接设备的ID之类的信息，但这不太可能是由于黑客的精心设计。正如Wired指出的那样，它更有可能被用于奇怪的音频恶作剧，因为Sonos有一个开放的API程序。而且，这不是第一次出现这样的事情。早在2014年，一位开发者做了一个名为Ghosty的交互式攻击，对智能设备做了类似事情。

尽管这个漏洞只影响了Sonos和Bose扬声器的一小部分，而且如果被黑客利用，这个漏洞也可能会相对温和，但是这两家公司仍然需要仔细检查他们连接的网络的安全性。