据外媒报道，亚马逊Echo存在漏洞，黑客可利用其麦克风进行窃听。近日MWR信息安全研究员Mike Barnes公布了一个漏洞攻击，利用此漏洞可以不留证据的对设备进行破坏。

Echo的设计初衷

苹果、谷歌较早开启了语音服务时代，并共同采用了将语音服务整合进智能手机的方案，但梦想是美好的，现实是残酷的，高效的输入法使得语音服务被冷落。而“落后”半步的亚马逊却提出了全新方案，诞生于2014年11月的亚马逊Echo只提供语音一种交互方案，除了扬声器和麦克风，Echo没有其它交互接口。

Echo从一设计之初就定位于家庭设备——体积较大，携带不便，没有独立电池，必须接入电源才能使用；尽管，如今的万物互联时代已经来临，但是对着机器说话仍显怪异，好在亚马逊Echo定位家庭环境而非公共环境，避开了公开场合下使用语音服务的尴尬。

MWR信息安全公司公开此漏洞

亚马逊Echo采用独特的“ARS”的自动语音识别处理系统，七个麦克风和一个音频信号过滤系统让Echo能够过滤掉嘈杂的环境音，轻松捕捉到指令声音（人声）。

优秀的声音过滤，在使用者看来简洁高效，但在不法分子看来则是生财之道。本次发现的漏洞，通过设备暴露的调试板来监视引导过程并了解设备的配置情况。对于更详细的步骤Barnes写道“插入SD卡，从此卡引导到U-Boot命令行界面，然后即可重写 Echo 固件，并重启Echo删除证据。”一旦固件被重新写入，攻击者就可实施操控所有麦克风，远程接收原始麦克风的音频。Barnes还表示即使移除 SD 卡Echo也会保持破解状态。

应对措施

第一种：直接从亚马逊或受信任零售商中购买设备，并保持所买设备的软件是最新的。

第二种：监控网络流量，谨防异常流量。

第三种：在亚马逊Echo上使用物理静音按钮，阻止它的“收听”，但会减少设备的随时在线功能。

第四种：尽量不购买二手的亚马逊Echo，可能会购买到被篡改的设备。

让人放心的是，Barnes 表示“该漏洞已经在2015年和2016年两个版本中得到证实，对于最新的2017年版本并不容易受到这种物理攻击。” 显然购买最新版的设备将是避免该漏洞的最佳方案。