Майк Барнс, дослідник з MWR Infosecurity опублікував подробиці злому Amazon Echo. Виявлена ??в пристрої вразливість дозволяє зловмисникові з фізичним доступом дістати права суперкористувача в базовій операційній системі Linux і встановити шкідливе ПЗ. Для атаки використовується незахищена отладочная панель, яка дає змогу відтворювати процесу завантаження і налаштування пристрою.

Уразливість полягає в тому, що пристрій Echo спочатку намагається завантажитися з SD-карти, підключеної до отладочной панелі.

Правильно відформатована SD-карта з X-loader і U-Boot в певному розділі дозволяє дістати повний доступ до файлової системи пристрою.

В якості демонстрації уразливості дослідники встановили бекдор для віддаленого управління пристроєм, а потім перенаправили весь звуковий потік даних, отриманий з мікрофона, на віддалений комп'ютер використовуючи протокол передачі даних TCP / IP.

Ця вразливість усунуто в останній версії прошивки Amazon Echo, проте моделі 2015 і 2016 року як і раніше уразливі.