部分Sonos和Bose揚聲器存在漏洞：或被黑客利用

據 Wired 報道，趨勢科技的安全研究人員，剛剛在部分型號的 Sonos 和 Bose 揚聲器上發現了漏洞，或可導致設備被劫持。 這些揚聲器被別有用心的人訪問到之後，可能被用來播放詭異的聲音、執行 Alexa 語音命令、或者播放理查德⋅艾斯利的專輯。值得慶幸的是，實際上只有小部分型號的揚聲器受到影響，包括 Sonos Play:1、Sonos One、以及 Bose SoundTouch 。

研究人員指出，這些揚聲器的問題在於，當連接到一個錯誤配置的網絡上時，就能夠在互聯網上被輕易地掃描到。

掃描者在發現了揚聲器之後，可藉助其 API 與應用溝通，然後讓揚聲器播放某個特定網址上的任意音頻文件。

趨勢科技表示，大約有 2500 ~ 5000 台 Sonos 設備、以及 400 ~ 500 台 Bose 設備向黑客敞開了這個音頻入侵漏洞。

Sonos 在回覆給 Wired 的一份電子郵件中表示：

我司正在深入調查此事，報道引用的是一個錯誤配置的用户網絡。僅一小部分客户受到公開網絡掃描漏洞的影響，我們不推薦這種類型的設置項。

雖然 Sonos 開放了自家的 API 程序，但這個漏洞可導致的後果應該嚴重不到哪裏去，頂多被用來搞一些古怪的惡作劇。

比如一位婦女表示，她家的 Sonos 揚聲器在半夜莫名地放起了玻璃破碎和嬰兒啼哭的聲音。(當然，嚇人也是不對的)

最後，其實早在 2014 年的時候，就有一名開發者演示過一種類似的“交互式鬧鬼(Ghosty)惡作劇”。

[編譯自：TheVerge]