亚马逊黑客案件_亚马逊黑客软件

分享一下亚马逊强开账号的方法

1 选择类似加拿大，墨西哥，西班牙，法国等站点,至少还是可以登录进去的,先故意输入密码错误,登录错误N次,最后一次再把密码输入正确,(这步是为了后面向亚马逊申诉的时候,说你的账号出现了被别人黑进去的异常情况)

2 最后一次登录成功之后,把相关联的站点的收款给关闭及停止.更换其他的收款重新绑定到这些相应的站点

3 有了前面第1和第2 行为,在亚马逊那边都是有记录的,伪造了一次账号被别人黑客攻击了,向亚马逊Jeff的账号绩效团队和资金风险团队求救,说自己的账号被未经授权的别人动过,请先暂时禁止对卖家账号的访问和暂停商品的销售.

由于亚马逊的弱站点的人才梯队没有跟上,亚马逊的团队收到您的邮件后会回复您的账号被未经授权的第三方登录，

4 更换登录环境,比如直接更换新的vps,重新登录,即可完成了.

自家摄像头惊现别家娃，空调被调90度，家用摄像头为何频频暴雷？

智东西（公众号：zhidxcom）文| 李水青

导语：魔鬼在窥听！自家摄像头惊现别家娃，摄像头突然出声吓坏小萝莉，国外家用摄像头为何频频暴雷？

“陌生的老人躺在扶手椅上、婴儿躺在床上睡觉、阳光明媚的客厅。”

近日，一个荷兰小伙用自家的小米摄像头联接谷歌Nest Hub时，却看到了别人家的视频画面。事后，谷歌立刻在谷歌助手上禁用小米摄像头集成。

无独有偶， 美国另一家智能摄像头巨头 亚马逊也几乎同一时间暴雷。

密西西比州，黑客入侵了一个家庭的亚马逊Ring摄像头。对方自称是圣诞老人，差点吓坏了家里的小女孩。没几天后，亚马逊Ring被爆出超4000个账户泄露，可让黑客远程监控、窃取信息。

而在我国，元旦刚过，浙江警方破获了一起 “非法控制十万摄像头” 的案件，跨越20省抓获32名嫌疑人。这些人在QQ群中售卖摄像头破解工具、被控摄像头账号密码，甚至以10-20元价格售卖裸露、色情的偷拍视频。

全球智能家居摄像头市场年年攀升，预计2023将以14%增速达130亿美元的规模。而家用摄像头也摆脱了“电脑外设”、“笨重安防设备”的标签，成为看娃、吸猫、照顾老人的日常智能家居设备。

但频繁发生的摄像头暴雷事件却成为许多用户心中的“倒刺”。黑客入侵、隐私直播等事件为什么会频频发生？问题的解法又是什么？令人费解。

自2019年初起， 谷歌Nest摄像头 就开始接连爆出类似“坑”。

伊利诺伊州的一对夫妇称黑客通过摄像头跟婴儿讲话，并把Nest恒温器调到了90华氏度（约为32摄氏度）；ABC报道一个Nest用户遭到来自摄像头的口头虐待和勒索赎金……

亚马逊这边 ，12月28日，有美国公民甚至把亚马逊Ring告上法庭，列举了八大实例，直指亚马逊的Ring相机容易受到黑客攻击。而后，Ring被查出有内部员工滥用职权访问用户视频数据。

谷歌和亚马逊是北美两大家用摄像头巨头。Nest公司曾因为恒温器的走红而被谷歌收归麾下，Ring于2018年被亚马逊以839美元收购，它们与路由器出身的Arlo公司一起占据了北美近80%的家用摄像头市场份额。

2019年，亚马逊和谷歌的 智能音箱频频暴雷，也为其摄像头安全问题增添了不安的底色。

2019年4月，亚马逊被曝在未告知用户的情况下雇人监听Alexa录音，对内容进行转录、标注，然后反馈给软件；两个月后，谷歌助手超1000个录音信息遭到泄露，其中包括大量在音箱没被唤醒时的录音，涉及卧室对话、父母和孩子之间的对话和大量私人信息电话……

相比于智能音箱隐私泄露的危害，家用摄像头可谓有过之而无不及。

一些黑客仅仅为了恶作剧、炫耀自己的“职业素养”而入侵摄像头，一些则更加邪恶。据了解，有黑客在名为NulledCast的播客中直播了入侵他人家中的内容，甚至滋生出“15元直播对床视频”类似的黑产，一些不法人员还通过摄像头进行敲诈勒索。

家用摄像头本是看护孩子老人的助手，却成了“魔鬼”潜入家里的“眼睛”。

“用户密码” 成为广为人知的薄弱环节。

一方面，一些用户在安装摄像头后直接 使用原始密码 ；另一方面，一些用户 在不同的平台和账户都采用相同的密码 ，这些情况都为黑客入侵创造了机会。

▲使用原始密码的摄像头机器容易被破解

一些企业和专家表示，受到黑客侵扰的，往往是在不同的平台和网站上使用相同名称和密码的人。当某站点被入侵后，黑客能使用被盗的名称和密码来尝试闯入其它平台帐户。

比如之前的“黑客入侵扮圣诞老人吓坏小女孩”、“黑客把室温调到90华氏度”的事件都被认为是这一原因。

Ring的一位发言人曾说：“不良行为者从其他公司的数据泄露中收集账号密码数据，供其它不良行为者访问其它服务，这种情况并不少见。”

然而，这并不能解释所有问题。 仅仅将问题归因于用户不改密码、密码太简单，则容易陷入企业和相关部门推卸责任的公关话术。

视频流的传输是一条长长的链条 ，从摄像头端到云服务器，从独立系统到集成系统，从视频云平台到手机、Pad等设备端， 每一个节点和传输通道都可能成为薄弱环节。

本次谷歌Nest Hub-小米摄像头的画面误接入就是一个实例。根据小米官方公告可知，当时恰逢网络恶劣，而米家系统正在缓存更新，因此该系统与谷歌Home Hub的集成环节就发生了故障。

同样是上个月底，美国摄像头厂商Wyze泄漏暴露了240万用户的客户数据，据称是其员工在使用该数据库时错删了安全协议。

2019年3月，美国摄像头巨头Arlo也被爆出系统存在两大Bug，包括网络配置错误和UART保护机制不足。

在一条用户看不到的视频流传输链条中，传输网络、子系统、集成系统、服务器等各个环节都可能成为薄弱环节，为黑客制造可入侵的机会。

然而，黑客的入侵固然令人担忧，运营商的“偷窥”则令人更难以接受。 2020年新年刚过，亚马逊公布的一则消息令人咋舌：亚马逊解雇四名员工，因为在过去四年中，Ring的四名员工滥用职权访问用户视频数据。

如果说黑客入侵还可以防范的话，那么运营商的“窥探”则是防不甚防。

当用户安装了亚马逊或谷歌的摄像头之后，就等于将自己的隐私交到了亚马逊和谷歌手里。在毫不设防的情况下，用户的视频数据可能被拿来训练AI模型、构建用户画像、投入精准广告。而一旦数据滥用的口子打开，引发的违法犯罪勾当则再难避免。

近年来，摄像头越来越成为居民的日常智能家居设备。吸猫、看娃、抓贼、看护老人、作智能猫眼……众多应用场景，一个摄像头和一台手机搞定。

Strategy Analytics报告指出，全球智能家居摄像头市场年年攀升，2019年将达80亿美元市场规模，2023将以14%增速达130亿美元市场规模。

全球的家庭、租户及商铺对摄像头的需求都在增长，但安全隐私问题却成为一根倒刺，让用户面临“因噎废食”的窘境。尤其对于我国方兴未艾的家用摄像头行业，这根“刺”显得格外梗喉。

用户管理好自己的密码，被认为是一条行至有效的路径。 在买回摄像头后，用户应该修改原始密码，并尽量不要将一个密码在多个平台共用，“密码+验证码”、“密码+指纹”的双重验证也被认为是强力保障。除此之外，不贪小便宜购买三无摄像头也能够避免一些风险。

▲一些摄像头的初始密码非常简单

但仅仅要求用户自卫远远不够。

厂家和运营商把握着视频流传输中的众多薄弱环节。 升级云服务器能力，优化传输网络，定期修复系统Bug、更新升级平台，从而在技术层面做到“坚如磐石”。

一位来自大华股份的专业人士称，因为我国在安防领域有着深厚实践，在视频加密方面的技术居于世界领先地位，视频加密级别越来越强，因此往往在刚刚接触到攻击，服务器就能快速反应，在用户完全“无感”的情况下就将入侵隔绝在外了。

除此之外，为摄像头增加物理遮挡，成为各大摄像头厂商应对安全隐私泄露的最直接举措。用户可以在App上开关摄像头，只选择在需要的时候打开摄像头。

放弃云服务，做视频本地存储和本地AI化也成为一种路径，但这种摄像头的价钱本身可能会昂贵许多，且对于厂商来说难以通过迭代的软件升级获得生态效应。

从更深层次来说，在用户和企业的自律之外，法律的监管和约束对摄像头行业尤其重要。

一方面，企业使用用户视频数据的界限在哪里？随着家用摄像头的AI化、以及摄像头与其它智能家居设备的打通，用户视频数据在AI模型训练、用户画像绘制等方面的价值将更加明显，如何将数据运营方关在“笼子”里，需要靠相关部门和法律法规的规范。

另一方面，不法人士的“偷窥成果”流向了哪里？所有围绕家用摄像头诞生的“黑产”，都会有“叫卖声”和“交易”的蛛丝马迹浮出水面，执法部门的管理打击力度也大大影响了智能摄像头行业的命运走向。

2019年6月，我国温州民警发现一男子在QQ群中售卖摄像头破解工具、被控制的家用摄像头账号密码，甚至以10-20元价格售卖裸露、色情的偷拍视频。

而就在近日，这起“非法控制十万家用摄像头”的案件水落石出，全国20多省份的32名犯罪嫌疑人被抓获。

在欧美，虽然亚马逊、谷歌一再强调自己的视频传输保密技术没有问题，且不会滥用用户的视频数据，各大关于数据隐私的法律也相继出台。但是摄像头频频暴雷却成为2019年各大厂的真实写照，值得我国的家用摄像头行业警醒。

家居场景涉及人们最隐秘的部分，而对承载人们生活画面的智能家用摄像头来说，隐私安全具有极端特殊的重要性。没有人会冒着“裸照被直播”的风险尝鲜AI技术，企业一旦在隐私安全上栽跟头，就可能真正永远失去用户。

亚马逊正式上线“刷手支付”

客人喜欢排队吗？答案显然是否定的。当手掌成为新的指纹，你的结账速度能有多快？

9月29日，机器之心消息，据亚马逊内部人士透露，亚马逊「人手支付」系统已正式上线，名称为「Amazon One」。美东时间上午八点，该系统会在亚马逊西雅图总部附近的两家Amazon Go便利店首次亮相。

Amazon Go是一种无需结账台的新型商店，自近两年前在亚马逊西雅图总部一楼首次亮相以来，亚马逊已在美国开设了24个Amazon Go门店。

在以往的进店和结算方式中，访客必须在旋转门上扫描Amazon Go应用，才能进入消费。离店后，借助摄像头和传感器，关联帐户会自动结算。

现在，有了新的生物识别技术Amazon One，进店和付款方式进一步升级。购物者在门口或结账时将手掌放在扫描仪上，即可完成付款。

外媒曾有消息报道（未经官方证实），该系统的识别错误率在百万分之一以内，而亚马逊的工程师正努力将其提高到一亿分之一以内。

该技术的响应速度也非常快，普通的银行卡交易需要3到4秒，但亚马逊的这一系统只需要0.3秒，大大加快了结账速度。

消费者在使用Amazon One进入商店

该技术也可能会出现在Whole Foods商店中，亚马逊在一份新闻稿中暗示，它将在未来几个月内在除Amazon Go以外的其他商店内引入手掌付款。

「刷手支付」上线

相比于「人脸识别」，「人手识别」是一种对隐私更为友好的方式。因为掌纹比其他生物特征识别更为私密，仅通过手掌图无法确认个人身份信息。

亚马逊一直在测试和推广「刷手支付」技术，去年12月机器之心曾报道亚马逊发布了非接触式扫描系统的专利申请，该系统将不通过脸部而是通过与手掌相关的特征（包括皱纹和静脉）来识别人。

消费者可以将自己的信用卡和手部信息绑定。结账只需要伸出手掌，甚至不需要携带手机。

验证时，消费者不需要像指纹识别那样把手按在某个面板上。只需伸出手掌，系统会使用红外线拍摄两张手部照片，一张是手掌表面的照片，另一张则是更深的照片，用于捕捉血管等手掌内部的信息。然后，系统使用计算机视觉和深度（depth）几何技术，包括神经网络等，进行信息的处理。

而使用两张照片的好处在于：能够扫描到手掌内较难造假的血管信息等，避免有人伪造手掌纹骗过系统。

今年1月，外媒又透露亚马逊已开始与Visa进行终端测试，并已与万事达卡、摩根大通、富国银行和Synchrony Financial讨论了该项目。

9月30日，这项名为「Amazon One」的人手支付系统终于显露真容，亚马逊同时上线了一个概念视频描绘了人手支付使用场景；

人手识别的注册步骤非常简单。先在Amazon One设备上插入信用卡，将手掌悬停在设备上，计算机视觉系统会评估手掌的个人特征，选择最独特的标识创建「手掌签名」。整个过程不到一分钟。

用户可以选择注册一只或两只手掌。注册后再进入将手掌放在Amazon One的设备上约一秒钟便可以进入Amazon Go商店，付款时也只需要伸出手掌。

这种注册方式是快速、轻量级的，甚至不需要先注册Amazon账户，只需要一个手机号码或者信用卡，但如果用户选择使用Amazon账户便可以网站查看使用记录。

当然，人手支付也是可选择的，用户也可以选择使用其他支付场景。

「让用户有选择的权力这一点非常重要。在已经开始应用Amazon One的两家西雅图商店中，您仍然可以用传统的方式进入商店或者使用现金付款。」

亚马逊如何使用手掌数据？

不过，一旦涉及到生物信息搜集，「隐私」都是绕不过的话题，争议点包括数据如何使用、是否会遭受黑客攻击或数据泄漏。

为保障安全性，手掌数据并非存储在Amazon One扫描设备中，图像在扫描时会被加密然后发送到云中定制的高度安全区域进行分析和存储。

既然数据存储在云端，亚马逊就必须解决发卡机构和客户的一大担忧，即他会收集到多少个人信息，以及如何使用这些信息。

对此亚马逊表示Amazon One完全是独立的设备。亚马逊会用这些数据来研究消费者的消费习惯，但也不涉及隐私。比如，亚马逊会收集Amazon One客户在哪里购物的数据，但不会知道购物者买来什么或者他们在第三方零售商店中花费了多少。

「没有计划将第三方交易信息用于亚马逊广告或其他目的上。」亚马逊发言人表示，购物者可以选择在不链接亚马逊账户的情况下使用Amazon One，接入Amazon One技术的任何第三方都可以单独保留手掌签名的数据库。

如果用户不想继续使用Amazon One，也可以通过设备本身或在线客户门户one.amazon.com删除自身的手掌数据。

不过，如果执法机构试图访问Amazon One的手掌扫描数据库以识别犯罪嫌疑人呢？亚马逊表示这同样行不通。

「使用该服务的客户都是由Amazon One设备创建的掌上图像专有组合识别」，并且「不能与其他来源提供的数据互操作。」

出售技术，谁会买单？

与苹果的Touch ID指纹扫描技术和Face ID面部扫描不同，亚马逊选择手掌识别是因为它比其他解决方案更具私密性。

比如，和看脸识人不同，你无法通过查看手掌的图像来确定一个人的身份，除非有意地将手掌放在扫描仪上。对于因人脸识别而倍受争议的亚马逊来说，这种使客户处于控制之中的「主动式」技术，非常重要。

公司高管明确表示，亚马逊希望将这种融合了摄像头，重量传感器和计算机视觉软件的便携性技术出售给其他零售商，并希望 体育 馆和办公大楼等第三方也将在将来开始使用该系统。

「客户喜欢排队吗？」亚马逊副总裁Dilip Kumar在一次采访中谈及无现金技术。

「这从根本上解决了在实体店中如何获得便利的问题，尤其是在人们时间紧迫的情况下，这种方法在商店规模和行业中具有相当广泛的适用性。」

事实上，亚马逊对电子商务的主导地位不满意，希望在实体零售世界中获得更多生意，美国80％的商业活动仍在这里进行。因此，亚马逊一直致力于构建一种未来面向的服务套件，吸引其他零售商。

亚马逊自己的店铺，通常被作为案例展示的旗舰模板。几年前，亚马逊在其第一家以7-11和Pret a Manger为原型的Amazon Go便利店推出无现金技术，突破隐私界限。业界认为，亚马逊可能会像现在通过亚马逊网络服务出售云计算一样，出售无现金技术。毕竟，亚马逊网络服务是该公司规模达400亿美元的部门。

亚马逊表示，已经与其他零售商就使用Amazon One进行了谈判，并且为该技术设想了许多不同的设置和应用程序。

「我们设计的服务适用于各种用例。」亚马逊物理零售和技术副总裁Dilip Kumar在本周接受GeekWire采访时讨论了Amazon One：

从PC操作系统、机场安全到公司和 体育 场馆，任何地方都可以使用生物特征识别代替密码和其他形式的身份验证。包括富士通和AEON Credit Service在内的公司也测试了手掌扫描技术。

不过，一个明显的问题是，对方特别是零售商是否愿意与这家 科技 巨头开展业务？

利用客户跟踪和结账技术为其他商店提供服务，可以为亚马逊提供额外的消费者购物习惯大量数据，如果可以利用他们的客户数据来发展自己的业务，许多零售商似乎都不会与亚马逊合作。

近期热点事件，支付壹线深度报道：

网爆畅捷支付偷交易量竟然高达30%

中付大POS、陆POS、合利宝展业通调价！10月延续涨价狂潮

亚马逊客服打电话过来说账户安全问题

小心诈骗。

外媒报道称，在刚刚过去的亚马逊Primeday期间，有非常多的消费者首次成为了Prime会员，这些新会员在最近频繁接到自称是“AmazonPrimeSecurity”的团队打来的电话，并称他们的亚马逊账户遭到了黑客入侵，并用他们的账户购买了一些东西。要求会员下载伪装成远程软件的钓鱼程序，将消费者的银行和亚马逊账号密码盗走。

亚马逊多账号操作是怎么一回事？

首先，亚马逊在全球各地拥有不少的站点，包括了美国站，英国站，日本站，德国站，澳大利亚站，印度站，日本站等等。对想要进行亚马逊多账号操作的卖家们来说，如果大家选择在这些不同的站点上开店，ok，亚马逊是允许的，卖家们可以用同一套资料进行注册和操作，也可以销售同样的产品。

但是，如果卖家们想在一个站点上，如美国站上开两家店，那么卖家们要注意，亚马逊不允许同卖家或同公司进行多账号的操作，也就是这样的亚马逊多账号是会亚马逊处罚的， 那么处罚一般都会是什么呢？

对于亚马逊同站点上的多账号操作，首先亚马逊会发送一个亚马逊关联的通知邮件给到卖家，然后如果卖家们的这些账号下销售着同样的产品，就会被亚马逊要求下架产品，如果卖家没有下架就会被亚马逊强制要求下架。当然如果关联着的账号中，有账号被封，就会导致其他的账号也被关闭。这可以说这是亚马逊对亚马逊多账号操作上最为严厉的处罚了。

为此对于想要在同个站点进行多账号操作的卖家们来说，做好防关联的工作，从注册账号开始，到之后的店铺运营上，注意预防，注意将这些信息隔离开，让亚马逊判断为是不同的人在运营就可以让这几个账号都安全的存在和运营了，紫鸟超级浏览器跨境电商防止账号关联软件，可以帮助卖家们在ip等登录环境上进行多账号关联的预防，帮助卖家们更好的预防账号关联。

黑客公布马斯克“星链”攻击工具

自2018年以来，埃隆马斯克的星链计划（Starlink）已将3000多颗小型卫星送入轨道。星链卫星网络能够将互联网连接覆盖到地球上最偏僻的脚落，并且在俄乌冲突期间成为乌方的重要联网方式。未来星链计划还将再发射数千颗卫星，其他组织和国家的竞争计划也在纷纷加入，高密度小型卫星网络正在改变地球的互联方式。但是，就像任何新兴技术一样，“星链”们正在被黑客入侵。

本周四，在拉斯维加斯举行的Black Hat安全会议上，比利时鲁汶大学(KU Leuven)的安全研究员Lennert Wouters将首次披露Starlink用户终端（即位于住宅和建筑物上的星链卫星天线）的安全漏洞。Wouters将详细介绍攻击者如何利用一系列硬件漏洞访问Starlink系统并在设备上运行自定义代码。

为了访问星链卫星天线的软件，Wouters改造了他购买的一个星链天线，并制作了一个可以连接到星链天线的定制黑客工具。该工具使用一种被称为modchip的定制电路板，零件成本仅约25美元。连接到星链天线后，该自制工具就能够发起故障注入攻击，暂时使系统短路以绕过星链的安全保护。这个“故障”使Wouters能够进入被锁定的星链系统。

Wouters将该工具在GitHub上开源发布，内容包括发起攻击所需的一些细节。“作为攻击者，假设你想攻击卫星本身，”Wouters解释说，“你可以尝试制作自己的系统来与卫星通讯，但这非常困难。所以更简单的办法是通过用户终端。”

去年，Wouter曾向Starlink通报了这些漏洞，后者也通过其漏洞赏金计划向Wouters支付了漏洞赏金。Wouters表示，虽然SpaceX已发布更新以使攻击更加困难（更改了modchip），但除非该公司开发新版本的主芯片，否则无法解决根本问题。

Wouters指出， 所有现有星链用户终端仍然容易受到攻击 。

根据Wired报道，Starlink计划在Wouters的黑帽大会演讲之后发布“公开更新”，但拒绝透露有关该更新的任何细节。

Starlink的互联网系统由三个主要部分组成。首先是卫星。卫星在低地球轨道上移动，距地表约340英里，并向下连接到地表。卫星与地球上的两个系统进行通信：将互联网连接发送到卫星的网关，以及人们可以购买的Dishy McFlatface卫星天线。Wouters的研究主要集中在这些用户终端（天线）上，这些天线最初是圆形的，但较新的型号是矩形的。

Wouters透露，他对星链用户终端的攻击涉及多个阶段和技术措施，最终他完成了现在开源的可用的星链天线黑客工具。这种定制电路板的攻击能够绕过系统启动时的签名验证安全检查，后者的功能是证明系统是否正确启动并且没有被篡改。“我们使用这种电路板来精确计算注入故障的时机。”Wouters说。

从2021年5月开始，Wouters就开始测试星链系统，他购买了一个星链天线，在大学大楼屋顶上测试其功能正常（268 Mbps的下载速度和49 Mbps的上传速度）。然后，他使用多种工具开始拆解天线，动用了“热风枪、撬动工具、异丙醇和极大的耐心”。最终，他成功从天线上取下大金属盖并接触其内部组件。

图片：LENNERT WOUTERS

在星链天线直径59厘米的盖子下面是一个大型PCB板，其中包含一个片上系统（上图），包括一个定制的四核ARM Cortex-A53处理器，其架构没有公开记录，因此更难破解。板上的其他组件包括射频设备、以太网供电系统和GPS接收器。通过拆解天线，Wouters能够了解它是如何启动和下载固件的。

设计modchip前，Wouters扫描了星链天线并完成了匹配现有星链PCB板的设计。modchip需要焊接到现有的星链PCB板并用几根导线将其连接起来。modchip本身由Raspberry Pi微控制器、闪存、电子开关和稳压器组成。在制作用户终端板时，星链工程师在其上印制了“人类在地球上制造”的字样。Wouters的modchip上则写着：“人类在地球上出现的故障。”

为了访问星链的软件，Wouters使用他的自定义系统通过电压故障注入攻击绕过安全保护。当星链天线打开时，它会启动一系列不同的引导加载程序。Wouters的攻击针对第一个引导加载程序（称为ROM引导加载程序）的运行故障，该引导加载程序被刻录到片上系统并且无法更新。然后，攻击会在以后的引导加载程序上部署定制固件，使Wouters能够控制整个系统。

“从更高层面来看，有两个明显可以攻击的对象：签名验证或哈希验证。”Wouters说。该故障攻击了签名验证过程。“通常我们总是会避免短路，”他说：“但在这种情况下，我们是故意这样做的。”

最初，Wouters试图在其引导周期结束时（即Linux操作系统已完全加载）使芯片出现故障，但最终发现在引导开始时更容易导致故障。Wouters认为这种方式更可靠。他说，为了让故障起作用，他必须停止用于平滑电源的去耦电容器的运行。攻击会禁用去耦电容器，运行故障以绕过安全保护，然后启用去耦电容器。

这个过程使研究人员能够在启动周期内运行星链固件的修改版本，从而能够访问其底层系统。Wouters说，作为对这项研究的回应，Starlink向他提供了对设备软件的研究人员级别的访问权限，但Wouters拒绝了，原因是不想在这方面钻研太深，主要精力放在制作modchip工具。（在测试期间，他将修改后的天线挂在研究实验室的窗户外面，并用一个塑料袋作为临时防水系统。）

Wouters指出，虽然星链还发布了固件更新使得攻击变得困难，但并非不可能。任何想以这种方式破解天线的人都必须投入大量时间和精力。虽然这次攻击不像破坏卫星系统或卫星通信那样具有破坏性，但Wouters表示，此类攻击可以用来更多地了解星链网络的运作方式。

“我现在的重点工作是与后端服务器通信。”Wouters透露。尽管在Github上可以下载modchip的详细信息，但Wouters没有出售任何成品modchip的计划，他也没有向人们提供修改后的用户终端固件或在攻击时使用的故障的确切细节。

随着越来越多的卫星发射——亚马逊、OneWeb、波音、Telesat和SpaceX都在打造自己的“星链”——它们的安全性将受到更严格的审查。除了为家庭提供互联网连接外，这些系统还可以帮助船舶联网，并在关键基础设施中发挥作用。卫星互联网系统已经成为恶意黑客的目标。

“我认为评估这些系统的安全性很重要，因为它们是关键基础设施，”Wouters说道：“我认为总会有人尝试进行这种类型的攻击，因为用户端的天线很容易获得。”

参考链接：