Sonos 智能音箱安全漏洞可能导致用户被窃听

admin 2024年8月10日11:07:58评论8 views字数 834阅读2分46秒阅读模式

导 

2024 年美国黑帽大会上,NCC 集团的研究人员披露了在 Sonos 智能扬声器中发现的漏洞,其中包括一个可能被用于窃听用户的漏洞。

Sonos 智能音箱安全漏洞可能导致用户被窃听

其中一个漏洞被追踪为 CVE-2023-50809,可被目标 Sonos 智能扬声器 Wi-Fi 范围内的攻击者利用来远程执行代码。

研究人员演示了攻击者如何利用此漏洞控制 Sonos One 扬声器,秘密录制音频,然后将其泄露到攻击者的服务器。

Sonos 智能音箱安全漏洞可能导致用户被窃听

Sonos 在 8 月 1 日发布的公告中向客户通报了该漏洞,但实际补丁已于去年发布。Sonos 扬声器使用的 Wi-Fi SoC 联发科也在 2024 年 3 月发布了修复程序。

Sonos 表示,该漏洞影响了无线驱动程序,该驱动程序“在协商 WPA2 四次握手时未能正确验证信息元素”。

该供应商表示:“低权限、近距离的攻击者可以利用此漏洞远程执行任意代码。”

此外,NCC 研究人员还发现了 Sonos Era-100 安全启动实现中的漏洞。通过将这些漏洞与之前已知的特权提升漏洞结合起来,研究人员能够以提升的特权实现持久代码执行。

NCC 集团发布了一份包含技术细节的白皮书,以及一段展示其窃听漏洞的视频。

漏洞公告:https://www.sonos.com/en-gb/security-advisory-2024-0001

技术白皮书及演示视频获取链接:https://www.nccgroup.com/us/research-blog/blackhat-usa-2024-listen-up-sonos-over-the-air-remote-kernel-exploitation-and-covert-wiretap/

参考链接:

https://www.securityweek.com/vulnerability-allowed-eavesdropping-via-sonos-smart-speakers/

Sonos 智能音箱安全漏洞可能导致用户被窃听

扫码关注

会杀毒的单反狗

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):Sonos 智能音箱安全漏洞可能导致用户被窃听

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月10日11:07:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Sonos 智能音箱安全漏洞可能导致用户被窃听http://cn-sec.com/archives/3051425.html

发表评论

匿名网友 填写信息