【安全圈】一次App更新差点要了这家老牌公司的命
更新时间:2024-10-03 03:03 浏览量:39
漏洞
Sonos 是一家世界领先的智能音箱公司,由 John MacFarlane、Craig Shelburne、Tom Cullen、Trung Mai 一群音乐发烧友创办。2018 年,Sonos 在纳斯达克上市,该公司表示自己不仅是一家硬件公司,也是软件公司。
今年Sonos 公司发布了一次重要更新,万万没想到却捅了马蜂窝。此次App更新中出现了大量的BUG,导致用户体验极其糟糕。具体问题主要集中在以下三个方面:
1.声音断断续续和音量失控:用户报告称,新应用程序导致声音断断续续,音量突然增大且无法调节,甚至设备在应用端偶发性“消失”。 2.尖锐声响和睡眠问题:有用户反映,扬声器在半夜发出尖锐声响,吓坏了全家人和宠物,甚至有人因为害怕音量突然增大而不敢使用新系统。 3.功能缺失和界面问题:新版应用删除了不少功能,如编辑歌曲队列、管理播放列表等,并且运行缓慢,系统控制难以使用此次软件更新问题影响了 Sonos 的新产品发布,原定即将推出的两款产品被迫推迟,包括备受期待的Sonos Arc 2条形音箱。该事故还导致公司股价下跌超过 35%,公司将本财年的最高收入预期从17亿美元下调至15亿美元,主流网站也撤回了对 Sonos 产品的广告推荐。
据媒体报道,此次App更新出现大量bug的原因是,Sonos忽视了大量技术债,长期依赖过时的代码和基础设施,导致新应用发布后出现了大量BUG。公司为了追求快速开发和降低成本,大幅裁员了质量保证团队成员。同时,Sonos在2023年和2024年进行了多次裁员,主要集中在营销部门,以降低成本并确保对产品有意义的投资。
事后,Sonos首席执行官帕特里克·斯彭斯公开道歉,并承诺将加速修复新应用程序中的错误,提高用户使用体验,而修复这些问题预计将耗费 2000 万至 3000 万美元。Sonos计划每两周推送一次更新,逐步修复BUG并增加新功能,如提高音量响应速度、改进用户界面等,希望可以提高用户体验并重新赢回用户信任。
Sonos 智能音箱存在多个漏洞
除了App更新出现bug外,Sonos 智能音箱还被曝存在严重的安全漏洞。
2024年,NCC集团的研究人员向Sonos 报告了智能音箱中的多个漏洞,其中包括CVE-2023-50809漏洞,这个漏洞可能允许攻击者监听用户。研究人员在2024年BLACK HAT USA会议上披露了这些漏洞。CVE-2023-50809漏洞可以被攻击者在目标Sonos 智能音箱的Wi-Fi范围内exploit,以实现远程代码执行和控制设备。
这个漏洞存在于设备的无线驱动程序中,而驱动程序在negotiating WPA2四个手动时未能正确验证信息元素。成功exploit这个漏洞可以使攻击者录制音频并将其传输到攻击者的服务器。
Sonos 公司通过发布Sonos S2版本15.9对漏洞进行了修复,并通知客户说没有可用的工作周转。MediaTek,Sonos 音箱Wi-Fi SoC的制造商,在2024年3月发布了一份安全公告(CVE-2024-20018)。
NCC Group也发布了一份白皮书,详细介绍了其专家在Sonos Era-100和Sonos One设备上实现任意代码执行的逆向工程过程和exploitation技术。
网罗圈内热点 专注网络安全
支持「安全圈」就点个三连吧!