보안 연구원은 “공격자가 해당 취약점을 이용하면 네트워크 스캔을 통해 원격에서 장비를 제어할 수 있다. 예를 들어 이상한 음악을 재생하거나 Alexa 음성 명령을 내릴 수 있다”고 밝혔다.
비록 일부 버전의 스피커에서 관련 취약점이 발견되었지만 현재 2천500대에서 5천대 sonos 장비와 400~500대 Bose 장비가 해커의 공격을 받았다고 전했다.
보안 인텔리전스 전문기업 씨엔시큐리티(대표 류승우) 측에 따르면, 공격자는 인터넷을 통해 취약점이 존재하는 스피커를 검색한다. 다음 API를 사용해 특정 URL에 호스팅 된 음성파일을 재생할 수 있다. 취약점이 존재하는 스피커는 동일한 네트워크에 존재하는 임의의 장비에 신분인증을 거치지 않고 사용이 가능하다(예를 들어 Spotify또는 Pandora 유형의 어플리케이션 API)고 전했다.
이밖에 음성 보조장비를 통해 스마트키, 에어컨과 전등 등 스마트 가전제품도 제어할 수도 있다.
TCSE(Trend Micro Certified Security Expert) 관계자는 “관련 공격이 가능한 원인은 스피커가 설정오류가 존재하는 네트워크에 연결되었기 때문이다.
또 현재 Sonos는 패치를 발표해 Dos를 포함한 결함을 복구했지만 Bose는 신속히 대응하지 못하고 있다고 밝혔다.
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지