酷应用

腾讯发现 Google Home 首个无接触攻破漏洞，谷歌第一时间确认

百家作者：InfoQ 2018-11-12 03:00:39

编辑 | Debra

智能音箱作为市面上最热门的物联网设备之一，其安全性也越发受到人们的关注。近日，腾讯安全团队 Tencent Blade Team 发现并报告了谷歌 Home 智能音箱多个全新漏洞，并在无需用户交互的情况下成功破解。谷歌安全团队第一时间致谢并确认此漏洞为高危安全漏洞，这也是谷歌 Home 首个对外确认的无接触攻破安全漏洞。

从亚马逊 Echo 到谷歌 Home

相比亚马逊 Echo，谷歌 Home 使用了完全不一样的操作系统与更高强度的安全防护机制，至今还未有团队利用漏洞在谷歌 Home 上执行恶意代码实现无接触攻破。而此次 Tencent Blade Team 发现的漏洞，能让攻击者在一定条件下远程执行恶意代码，在无需任何用户交互的情况下实现窃取资料与隐私，静默录音等。

今年 8 月，腾讯首发了对亚马逊智能音箱 Echo 的研究成果，通过多种方式完成了对 Echo 的破解。在全球黑客大会 DEFCON 上，Tencent Blade Team 还现场演示了如何黑入亚马逊 Echo 音箱，实现远程控制、窃听、录音。

Tencent Blade Team 由腾讯安全平台部创立，致力于互联网前沿技术安全研究，物联网便是其重点研究方向之一。在过去的两年时间里，Tencent Blade Team 已经发现了谷歌、苹果、亚马逊、微软等多个国际知名厂商 80 多个安全漏洞，旨在通过这些对互联网前沿攻防技术的研究，提升行业安全意识的同时，也为企业安全战略的提前布局提供重要参考。

值得一提的是，Tencent Blade Team 成功攻破的亚马逊 Echo 和谷歌 Home，恰巧就是今年即将开赛的“黑客世界杯”Mobile Pwn2own 上，两个积分最高的物联网比赛项目。

据悉，素有“黑客世界杯”之称的 Mobile Pwn2own 将于 11 月中旬在日本开幕。Pwn2own 自 2007 年举办至今，是全世界最著名、奖金最丰厚的黑客大赛，通过黑客攻击挑战来完善自身产品。今年 11 月即将在日本举办的 Mobile Pwn2own 比赛，除了传统的智能手机外，首次加入了 IoT 比赛项目，其中就包括了目前全球销量最高的亚马逊 Echo 与谷歌 Home 智能音箱。

安全之路仍任重道远

目前，Tencent Blade Team 已经向谷歌报告此漏洞详情，谷歌安全团队第一时间致谢并确认此漏洞为高危安全漏洞，同时表示将在近期全线推送安全更新。据悉，此次漏洞不仅影响谷歌 Home 智能音箱，还影响目前所有主流操作系统的许多重量级软件，Tencent Blade Team 也将按照负责的漏洞报告流程将相关漏洞修复方案报告给其它受影响厂商，便于厂商在新版本中修复漏洞。

随着互联网科技的迅猛发展，人们的生活日趋智能，但相应的安全研究却远没达到与其发展速度和规模相匹配的水平，安全之路仍任重道远。