Pwn2Own黑客大赛的最新版本强调了智能家居设备的一个非常常见的缺陷。安全研究团队Fluoroacetate通过利用其“修补程序漏洞”(即,使用了已在其他平台上修补的较旧软件)入侵了AmazonEcho Show 5。比赛主持人“零日行动计划”的负责人布莱恩·戈伦茨(Brian Gorenc)向TechCrunch解释说,智能屏幕使用的不是最新版本的Google Chromium浏览器引擎,因此容易受到攻击。氟乙酸盐通过使用整数溢出JavaScript错误利用该过时的代码,从而在设备连接到恶意WiFi网络时劫持了该设备。
Gorenc补充说,补丁差距是比赛中许多物联网黑客的“共同因素”。
这是参赛者第一次可以将设备定位到“家庭自动化”类别中,而在此之后还有许多其他创举。氟乙酸盐还通过其Web浏览器中的JavaScript漏洞破坏了Sony X800G电视(Pwn2Own的第一个电视目标),而Flashback团队则通过使用缓冲区溢出来获得对Netgear Nighthawk R6700路由器的控制权来破解了第一台路由器。不过,并非所有人都成功了-Facebook门户网站经受了黑客的攻击。
亚马逊表示正在“调查” Echo Show 5的黑客行为,并将采取“适当步骤”来保护其设备,尽管它并未详细说明它将做什么或何时进行。可以肯定地说结果表明制造智能家居设备涉及安全风险。公司可能必须分叉软件(并因此增加额外的工作)以针对连接的设备对其进行优化,但是如果开发人员不致力于使特殊代码保持最新状态,这也可能带来缺陷。