【TechWeb报道】随着苹果正式发布HomePod宣布入主智能音箱市场，无论从国外还是国内，都掀起了一股智能音箱的热潮。国内的厂商像出门问问、Rokid、喜马拉雅及小米都纷纷推出了自己的AI音箱产品，众筹也好，量产也好，都充分表明了智能音箱将是物联网时代的下一个爆点。

在改善我们生活方式，让我们的日常生活越来越方便的同时，智能音箱却也出现了隐患。近日，英国安全研究人员Mark Barnes展示了入侵亚马逊Echo的技术。通过这项技术，任何人都可以在Echo上安装恶意软件，并将设备的语音输入发送到远程服务器上。攻击者需要直接接触Echo，而且这个方法只适用于2017年之前的设备。这个漏洞无法修补，同时攻击者也不会留下任何的证据。

那么Mark Barnes发现的旧款Echo设备上的漏洞是什么呢？把Echo的底座去掉，可以看到设备底部有一些小的金属垫。这些金属连接着Echo内部的硬件。通过其中一个金属垫可以读取SD卡上的数据。Barnes利用了上面的两个金属垫，分别连接到电脑和读卡器上，之后装上新的Bootloader，关闭了系统的安全机制，从而安装恶意软件。

因为此入侵方法是硬件入侵，而并非是软件的系统bug，所以通过刷新固件等方法是无法修复的。目前新款的Echo已经解决了这个问题，但是旧款是无法通过软件修补的。Barnes警告说，目前在旧版的Echo上，很多第三方销售会安装恶意软件，所以尽量不要在公共场合像宾馆酒店房间等场所使用Echo设备。“在那种情况下，你无法控制接触设备的人”Barnes说，“曾经住宿的客人可能安装了什么东西，或者是清洁工或其他什么人。”

不过Barnes针对旧款Echo也提供了一个防范的方法，恶意软件无法控制Echo上的“静音”按键，也就是说，如果“静音”模式打开的话，黑客将无法通过软件打开语音。对于那些使用旧款Echo的yoghurt来说，这确实是一个行之有效的防范方法。