Hacker dari jauh boleh merampas beribu-ribu penceramah Sonos dan Bose untuk memainkan bunyi hantu misterius

Hacker dari jauh boleh merampas beribu-ribu penceramah Sonos dan Bose untuk memainkan bunyi hantu misterius

anak
Penyelidik Trend Micro telah menemui beberapa penceramah Sonos dan Bose yang boleh dieksploitasi oleh penggodam dan pranksters yang mengganggu

Penyelidik keselamatan telah menemui bahawa beberapa model Sonos dan penceramah Bose boleh dibajak jauh dari penggodam untuk memainkan bunyi hantu menyeramkan dan mengerikan. Penyelidik di Trend Micro menemui kelemahan yang pelik yang mempengaruhi peratusan kecil penceramah oleh kedua-dua firma, termasuk Sonos Play: 1, Sonos One, dan sistem Bose SoundTouch, yang dilaporkan berwayar pertama.

Model berkaitan internet yang terjejas boleh ditemui oleh penggodam atau penggemar menggunakan pengimbasan internet mudah seperti NMap dan Shodan dan diakses dari jauh untuk memainkan klip audio yang mereka pilih, kata para penyelidik. Bergantung pada masa imbasan, antara peranti 2000 dan 5000 Sonos dan peranti 400 ke 500 Bose dilihat dalam talian dan berpotensi terdedah kepada penggodaman.

Peranti terpengaruh ini membenarkan sebarang peranti pada rangkaian WiFi yang sama untuk mengakses API yang digunakan untuk bercakap dengan aplikasi seperti Spotify atau Pandora dan memainkan muzik tanpa pengesahan pengguna. Hacker, bagaimanapun, berpotensi menargetkan API itu dan memberitahu penceramah untuk memainkan fail audio yang dihoskan pada URL tertentu.

Trend Micro juga memberi amaran bahawa eksploitasi itu boleh digunakan untuk mencetuskan dan bercakap penceramah pintar berdekatan seperti Amazon Echo dan Google Home dan mengawal ciri rumah pintar lain seperti kunci pintar, kawalan suhu atau pencahayaan.

Hackers juga boleh mengumpulkan maklumat seperti alamat IP dan ID peranti lain yang berkaitan yang boleh digunakan untuk menyampaikan eksploitasi atau bahkan menyerang serangan serangan phishing sasaran untuk mengumpulkan lebih banyak maklumat.

"Jika penyerang mengetahui apa jenis muzik atau artis yang disukai oleh pengguna, ia mungkin menyediakan jalan untuk serangan. Sebagai contoh, penyerang boleh membuat e-mel spear-phishing memanfaatkan kejuruteraan sosial, atau menjanjikan tiket ke persembahan artis kegemaran sasaran yang akan datang, "kata Trend Micro.

Memandangkan sifat-sifat serangan yang jelas ini, penyelidik mengatakan bahawa mereka mungkin tidak mungkin membuat prank audio lebih banyak senario. Seorang wanita yang dilaporkan pada awal tahun ini bahawa penceramah Sonosnya mula bermain pecah kaca, pintu berderit dan bayi menangis berbunyi dengan kuat di tengah malam.

"Ia benar-benar kuat!" Pengguna yang menggunakan nama "Chryssy" menulis dalam a Forum komuniti Sonos. "Ia mula memeras saya dan saya tidak tahu bagaimana untuk menghentikannya."

Trend Micro telah memberitahu Sonos dan Bose mengenai kelemahan keselamatan.

"Kami sedang meneliti lebih lanjut ini, tetapi apa yang anda rujuk adalah salah faham rangkaian pengguna yang memberi kesan kepada sejumlah kecil pelanggan yang mungkin telah mendedahkan peranti mereka ke rangkaian awam," kata Sonos dalam e-mel kepada TechCrunch. "Kami tidak mengesyorkan jenis ini untuk pelanggan kami. Dalam masa terdekat, sesiapa yang mengambil berat tentang isu ini harus memastikan sistem Sonos mereka ditubuhkan pada rangkaian dalaman mereka yang dijamin. "

Syarikat itu juga telah mengeluarkan patch untuk menyelesaikan masalah itu juga. Bose belum mengulas secara umum mengenai isu itu.

"Dengan populariti peranti IOT yang semakin meningkat setiap hari, sangat penting untuk mengetahui keselamatan terbina dalam peranti-peranti ini yang akhirnya dapat menjejaskan pemiliknya dan menjadikannya sasaran serangan," kata Trend Micro. "Walaupun peranti ini tidak sepatutnya didedahkan di internet, kami telah menunjukkan bahawa mereka boleh dan akan mencari jalan mereka secara langsung di internet."

Artikel Asal

Tinggalkan Komen

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui bagaimana data komen anda diproses.