CSS2018騰訊安全探索論壇技術(shù)獎(jiǎng)議題巡禮：揭秘亞馬遜Echo的破解之道

近期有消息稱，美國(guó)圣路易大學(xué)宣布將在學(xué)生宿舍放置2300個(gè)Echo Dot智能音箱，其內(nèi)置的語(yǔ)音助理Alexa，能隨時(shí)隨地解答同學(xué)有關(guān)校園生活的問(wèn)題，此消息一經(jīng)報(bào)道便有評(píng)論發(fā)出了“智能音箱可能會(huì)獲取個(gè)人隱私”的擔(dān)憂之聲。

為何公眾對(duì)智能音箱總是心懷戒備？因?yàn)樗陂_(kāi)機(jī)聯(lián)網(wǎng)狀態(tài)下麥克風(fēng)時(shí)刻工作，如果被黑，用戶的隱私將會(huì)被竊聽(tīng)的一清二楚。不過(guò)值得欣慰的是，智能音箱的安全性問(wèn)題已經(jīng)引起了許多信息安全專家的重視。

在近日舉辦的第四屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)（CSS2018）騰訊安全探索論壇（TSec）上，來(lái)自Tencent Blade Team的高級(jí)安全研究員伍惠宇就智能音箱安全問(wèn)題展示了團(tuán)隊(duì)最新的研究成果，引發(fā)場(chǎng)內(nèi)外熱議。同時(shí)，其研究成果通過(guò)了TSec百人大師品鑒團(tuán)的評(píng)審，獲得了技術(shù)獎(jiǎng)。

求教華強(qiáng)北“老司機(jī)”焊接經(jīng)驗(yàn)   完成攻擊環(huán)境搭建

在TSec論壇現(xiàn)場(chǎng)，Tencent Blade Team的高級(jí)安全研究員伍惠宇在簡(jiǎn)要回顧了智能音箱發(fā)展及安全性問(wèn)題之后，詳細(xì)展示了其團(tuán)隊(duì)如何從攻擊者角度完成對(duì)亞馬遜智能音箱Echo的漏洞挖掘和遠(yuǎn)程攻擊。

擺在Tencent Blade Team前面的核心問(wèn)題是構(gòu)造攻擊環(huán)境，但是亞馬遜官方并沒(méi)有在任何渠道公開(kāi)固件信息，這意味著常用的方式不再奏效。

幾番思索之下，伍惠宇選擇從硬件入手，購(gòu)買(mǎi)市售的Echo，進(jìn)行拆解。但當(dāng)存儲(chǔ)固件的 EMCP芯片從主板上取下來(lái)后，讀取它又成了一道難題。為了穩(wěn)定高效的讀寫(xiě)，團(tuán)隊(duì)需要重新給芯片植錫，僅植錫這個(gè)步驟就因操作人員經(jīng)驗(yàn)不足而報(bào)廢了數(shù)臺(tái)設(shè)備，之前所有的操作必須得重頭再來(lái)，后續(xù)的芯片封裝同樣遇到了難題。在多次試錯(cuò)之后，團(tuán)隊(duì)最終成功導(dǎo)出數(shù)據(jù)，改寫(xiě)了固件。而這僅僅是“萬(wàn)里長(zhǎng)征第一步”。

（拆解下來(lái)的WMCP芯片）

在提取固件之后，Tencent Blade Team團(tuán)隊(duì)成員開(kāi)始搭建ROOT的測(cè)試環(huán)境。伍惠宇通過(guò)修改系統(tǒng)分區(qū)下的腳本實(shí)現(xiàn)ROOT。而這也迎來(lái)了此次破解對(duì)團(tuán)隊(duì)成員最大的考驗(yàn)——需要將芯片重新焊接回電路板。

同拆卸相比，將芯片重新安裝回去的難度更大。在13毫米×8毫米大小的芯片上，有多達(dá)221個(gè)焊接點(diǎn)，重新焊接必須保證所有的焊接點(diǎn)對(duì)齊，還要保證沒(méi)有虛焊，更不能有短路，否則功虧一簣，一切又得重來(lái)。在數(shù)次嘗試均告失敗之后，伍惠宇特地請(qǐng)教了深圳華強(qiáng)北手機(jī)維修城的“老司機(jī)”，在學(xué)習(xí)了他們的焊接經(jīng)驗(yàn)后，順利將芯片重新焊接回主板。

從固件的獲取過(guò)程來(lái)看，破解亞馬遜智能音箱，不僅需要高質(zhì)量的代碼，還要求掌握精湛的手工技能。在此之后，Tencent Blade Team發(fā)現(xiàn)在軟件層面亞馬遜智能音箱的安防已經(jīng)達(dá)到了相當(dāng)高強(qiáng)度，想利用漏洞完成攻擊還有很長(zhǎng)路要走。

從何處攻擊？ WHAD數(shù)據(jù)同步程序成跳板

Tencent Blade Team安全研究人員在完成固件改寫(xiě)后，以這一臺(tái)音箱為基礎(chǔ)進(jìn)行漏洞挖掘，他們發(fā)現(xiàn) WHAD程序存在漏洞，該程序可以在多臺(tái)音箱之間同步數(shù)據(jù)，使不同設(shè)備播放同一首歌，或者響應(yīng)同一個(gè)語(yǔ)音指令。

以此漏洞為跳板，Tencent Blade Team通過(guò)在局域網(wǎng)內(nèi)搭建相同IP的服務(wù)器，給用戶發(fā)送一個(gè)亞馬遜登錄鏈接，拿到用戶cookie，遠(yuǎn)程啟動(dòng)含有漏洞的WHAD程序，將那臺(tái)已經(jīng)ROOT了的音響綁定到了特定用戶的賬戶之下。這個(gè)時(shí)候，音箱會(huì)從云端拉取局域網(wǎng)內(nèi)用戶綁定的所有其他Echo音箱的證書(shū)和私鑰信息，將證書(shū)和私鑰發(fā)送給攻擊者。

伍惠宇進(jìn)一步解釋到，攻擊者拿到這些數(shù)據(jù)之后會(huì)對(duì)局域網(wǎng)內(nèi)的所有音箱發(fā)動(dòng)攻擊。攻擊代碼執(zhí)行完畢以后所有音箱會(huì)自動(dòng)與攻擊者控制的遠(yuǎn)程服務(wù)器進(jìn)行通信，接收攻擊者的遠(yuǎn)程控制指令，并把竊聽(tīng)到的錄音文件發(fā)送到遠(yuǎn)程服務(wù)器，成為攻擊者的遠(yuǎn)程竊聽(tīng)器。至此，一次針對(duì)智能音箱的攻擊便已完成，曾經(jīng)“聰明伶俐”的智能音箱已經(jīng)變身為竊聽(tīng)神器。

（受到攻擊的音箱被遠(yuǎn)程控制，靜默錄音）

伍惠宇表示，這種看似大費(fèi)周章的漏洞挖掘和攻擊形式暴露出來(lái)的隱患雖然對(duì)普通用戶來(lái)說(shuō)威脅不大，但是對(duì)局域網(wǎng)內(nèi)連接了多臺(tái)設(shè)備的用戶來(lái)說(shuō)卻十分危險(xiǎn)，以文章開(kāi)頭的圣路易大學(xué)為例，如果某一臺(tái)設(shè)備遭到攻擊，整個(gè)網(wǎng)絡(luò)內(nèi)的用戶信息都有泄露的危險(xiǎn)。

雖然這僅僅是針對(duì)亞馬遜Echo的攻擊方式，但對(duì)于其他廠商來(lái)說(shuō)十分具有警示意味。保障智能設(shè)備和用戶信息的安全不僅需要設(shè)備商加強(qiáng)投入，也需要與安全團(tuán)隊(duì)加強(qiáng)合作，及時(shí)發(fā)現(xiàn)并修復(fù)漏洞，消除安全隱患。同時(shí)，用戶在使用智能音箱時(shí)一定要及時(shí)升級(jí)系統(tǒng)。

據(jù)了解，伍惠宇所在團(tuán)隊(duì)Tencent Blade Team，由騰訊安全平臺(tái)部在2017年底成立，專注于AI、IoT設(shè)備、移動(dòng)終端的安全研究。雖然組建不久，但已經(jīng)在國(guó)際舞臺(tái)上嶄露頭角。其團(tuán)隊(duì)不僅協(xié)助亞馬遜、Google及蘋(píng)果等國(guó)際廠商修復(fù)了70多個(gè)漏洞，還在今年8月初登上了DEFCON大會(huì)的演講臺(tái)。