去，把空調溫度調到 40℃。好的。這是來自同一個智慧音箱的自問自答，只不過乾的事兒，是自己攻擊自己：隨機撥號、自主開門、拿主人賬戶上亞馬遜購物、把空調溫度調至一個致死率爆炸的數字……

這位“自黑者”是亞馬遜家的智慧音箱 Amazon Echo，當然，並不是什麼 AI 相關的智械危機，而是一個來自英國和義大利的研究團隊的安全試驗。

他們遠端黑入智慧音箱，通過技術手段讓智慧音箱自發地給自己下達惡意指令。

惡意指令中，隨機撥打號碼的成功率有 73%、修改日曆時間的成功率有 88%、控制智慧燈開關的成功率有 93%、甚至可以 100% 地做到亞馬遜上購買任意商品……

只能說，這波自黑是真的強。

三個漏洞導致“自黑”成功

那麼，研究人員到底是如何讓 Echo 音箱“自黑”的呢？

這源於 Echo 音箱的三個漏洞：

• 一個自發命令的漏洞：Echo 音箱可以識別由本裝置播放的音訊檔案，並分析並執行音訊檔案中包含的語音命令

• Full Volume：有可能將自發命令的識別率平均增加一倍

• Break Tag Chain：一些敏感命令需要使用者在短時間（8 秒）內進行持續回覆，否則命令就不會執行，但這個漏洞可以將該時間延長到超過 1 小時，因此得以長時間控制裝置

這些漏洞使得黑客遠端操控 Echo 音箱，強制其自發命令成為了可能。甚至一些需要口頭確認的敏感命令，在發出命令後 6 秒鐘左右再新增單詞“YES”也能順利繼續。

操控音箱的方法有多種：可以連線藍芽，可以通過語音合成標記語言(SSML) 將文字轉換為合成語音，還可以在雲主機上進行惡意攻擊，將 Echo 音箱調到播放命令的廣播電臺。然後，就可以通過一種叫做 AvA（Alexa versus Alexa）的攻擊方法來試 Echo 音箱執行任何允許的動作。（其中 Alexa 是 Echo 音箱的喚起詞）

具體的攻擊流程如下圖所示：

0.1、0.2、1.1、1.2：惡意軟體傳送一個命令

2：Echo 音箱自行發出命令

3：通過地址驗證服務（AVS）進行解析

4、5：如果該命令要求使用外部技能，地址驗證服務將與相關的伺服器進行通訊

6：再將解析後的資訊返回給 Echo 音箱

通過這種方式，就可以隨意編輯 Echo 音箱發出的命令。

比如一個最簡單的 10+11 等於幾的加法，就可以強行將其回答修正為“77”：

目前，這項攻擊能強制智慧音箱進行許多惡意行為，包括：

• 控制智慧電器

• 撥打任意電話號碼

• 篡改日曆和修改日程

• 使用亞馬遜賬戶進行未經授權的購買

• 允許對手提取私人資料：包括多個連線裝置的密碼

不過，好在研究者們已經通過亞馬遜的漏洞研究專案進行了報告，這些漏洞被評為中等。目前攻擊只有在第三代和第四代 Echo Dot 裝置上才生效，更新的版本中，這些問題已經得到了修復，也算是可喜可賀了。

作者介紹

論文作者共有三位：Sergio Esposito、Daniele Sgandurra、Giampaolo Bella。

前兩位來自英國的倫敦皇家霍洛威大學（Royal Holloway, University of London），最後一位來自義大利的卡塔尼亞大學（Università degli Studi di Catania）。

其中，Daniele Sgandurra 博士畢業於義大利的比薩大學，也是 IBM 蘇黎世研究實驗室（IBM Zurich Research Laboratory）安全小組的研究院。

現在，他是倫敦帝國理工學院計算系的研究助理，專注於雲環境和惡意軟體分析的威脅建模。

論文：

https://arxiv.org/abs/2202.08619

參考連結：

[1]https://arstechnica.com/information-technology/2022/03/attackers-can-force-amazon-echos-to-hack-themselves-with-self-issued-commands/?comments=1

[2]https://www.youtube.com/watch?v=t-203SV_Eg8