两名安全研究人员通过黑客入侵Amazon Echo获利$ 60,000

 
在开发和测试了几种引人注目的漏洞利用程序(包括针对Amazon Echo的攻击)之后，两名安全研究人员在今年的Pwn2Own黑客大赛中被冠以顶级黑客的头衔。
组成氟乙酸酯团队的Amat Cama和Richard Zhu因与最新的Amazon Echo Show 5(一种Alexa驱动的智能显示器)进行整数溢出攻击而获得了60,000美元的漏洞赏金。
研究人员发现，该设备使用了Google的开放源代码浏览器项目Chromium的较旧版本，该版本在其开发过程中已经花了很长时间。参加Pwn2Own竞赛的趋势科技“零日计划”负责人Brian Gorenc说，该错误使他们能够在连接到恶意Wi-Fi热点时“完全控制”该设备。
研究人员在一个射频屏蔽罩中测试了他们的漏洞，以防止任何外界干扰。
Gorenc告诉TechCrunch：“补丁差距是比赛中许多IoT设备遭到破坏的普遍因素。”
整数溢出错误发生在数学运算试图创建一个数字，但在其内存中没有足够的空间时，导致数字在其分配的内存之外溢出。这可能会对设备产生安全影响。
到达时，亚马逊表示将“对这项研究进行调查，并将根据我们的调查采取适当的步骤来保护我们的设备”，但没有透露将采取什么措施来修复漏洞。
Echo并不是展会上唯一的互联网连接设备。今年早些时候的比赛说，黑客将有机会入侵Facebook门户，这是社交媒体巨头的具有视频通话功能的智能显示器。但是，黑客无法利用门户网站。