秒送号(miaosong.cn)自媒体平台11月11日文章,在开发和测试了几项引人注目的漏洞利用程序(包括对Amazon Echo的攻击)之后,两名安全研究人员在今年的Pwn2Own黑客大赛中被冠以顶级黑客的头衔。
组成氟乙酸酯团队的Amat Cama和Richard Zhu因与最新的Amazon Echo Show 5(一种Alexa驱动的智能显示器)进行整数溢出攻击而获得了60,000美元的漏洞赏金。
研究人员发现,该设备使用了Google的开放源代码浏览器项目Chromium的较旧版本,该版本在其开发过程中已经花了很长时间。参加Pwn2Own竞赛的趋势科技“零日计划”负责人Brian Gorenc说,该错误使他们能够在连接到恶意Wi-Fi热点时“完全控制”该设备。
研究人员在一个射频屏蔽罩中测试了他们的漏洞,以防止任何外界干扰。
Gorenc告诉TechCrunch:“补丁差距是比赛中许多IoT设备遭到破坏的普遍因素。”
氟乙酸酯团队的Amat Cama(左)和Richard Zhu(右)。图片:ZDI)
整数溢出错误发生在数学运算试图创建一个数字,但在其内存中没有足够的空间时,导致数字在其分配的内存之外溢出。这可能会对设备产生安全影响。
到达时,亚马逊表示将“对这项研究进行调查,并将根据我们的调查采取适当的步骤来保护我们的设备”,但没有透露将采取什么措施来修复漏洞。
Echo并不是展会上唯一的互联网连接设备。今年早些时候的比赛说,黑客将有机会入侵Facebook门户,这是社交媒体巨头的具有视频通话功能的智能显示器。但是,黑客无法利用门户网站。
免责声明:该自媒体文章由实名作者自行发布(文字、图片、视频等版权内容由作者自行担责),且仅为作者个人观点,不代表 秒送号(Miaosong.cn)立场,未经作者书面授权,禁止转载。[投诉 · 举报作者与内容]
