部分Sonos和Bose扬声器存在漏洞：或被黑客用于音频恶作剧

据 Wired 报道，趋势科技的安全研究人员，刚刚在部分型号的 Sonos 和 Bose 扬声器上发现了漏洞，或可导致设备被劫持。这些扬声器被别有用心的人访问到之后，可能被用来播放诡异的声音、执行 Alexa 语音命令、或者播放理查德·艾斯利的专辑。值得庆幸的是，实际上只有小部分型号的扬声器受到影响，包括 Sonos Play:1、Sonos One、以及 Bose SoundTouch 。

研究人员指出，这些扬声器的问题在于，当连接到一个错误配置的网络上时，就能够在互联网上被轻易地扫描到。

扫描者在发现了扬声器之后，可借助其 API 与应用沟通，然后让扬声器播放某个特定网址上的任意音频文件。

趋势科技表示，大约有 2500 ~ 5000 台 Sonos 设备、以及 400 ~ 500 台 Bose 设备向黑客敞开了这个音频入侵漏洞。

Sonos 在回复给 Wired 的一份电子邮件中表示：

我司正在深入调查此事，报道引用的是一个错误配置的用户网络。仅一小部分客户受到公开网络扫描漏洞的影响，我们不推荐这种类型的设置项。

虽然 Sonos 开放了自家的 API 程序，但这个漏洞可导致的后果应该严重不到哪里去，顶多被用来搞一些古怪的恶作剧。

比如一位妇女表示，她家的 Sonos 扬声器在半夜莫名地放起了玻璃破碎和婴儿啼哭的声音。（当然，吓人也是不对的）

最后，其实早在 2014 年的时候，就有一名开发者演示过一种类似的“交互式闹鬼（Ghosty）恶作剧”。