新攻击手法可将旧款Amazon Echo改造成窃听器

　　2015年、2016年销售的旧版Amazon Echo，因URAR埠设计于底部、加上可从外部SD卡开机，经过改造可在不留痕迹下植入恶意软件，远程访问用户验证数据，或是将麦克风搜集的语音数据传送到外部。

　　智能喇叭Echo被视为亚马逊(Amazon)攻城略地、实现智能家居的利器，但有研究人员指出，不肖人士也可能将之改造成窃听用户的间谍工具。

　　研究人员Mark Barnes指出，Echo的URAR端口公开暴露于装置底部，加上可从外部SD卡开机的硬件设计，使攻击者得以改写Echo韧体，并在外表不留痕迹情况下植入恶意软件，藉此进行各种在一般计算机上的攻击行为，包括远程访问Echo，窃取用户验证信息，甚至利用麦克风直接收音后传到外部网站上。

　　不过这种攻击方式较有局限，一来是攻击者必须直接接触到受害者的Echo。二来是研究人员描述的攻击法，仅适用于2015年及2016年的旧版Echo。The Verge报导，今年起新版Echo硬件做了改良，使SD卡无法再透过SPI和Echo作用，无法再以SD卡开机，减少了入侵管道。

　　分析师预估，目前Echo在全球已卖出超过700万台。亚马逊向来建议使用者不要买来路不明的Echo，最好向亚马逊及值得信赖的经销商购买产品。

　　事实上，随着物联网的运用日愈广泛，对消费者隐忧也构成愈来愈大的威胁。除了Echo这类智能喇叭，研究人员发现，智能电视、打印机、连网玩具、监视器，都可能成为家中的间谍工具。