freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    一次App更新差点要了这家老牌公司的命
    2024-09-30 15:15:46
    所属地 上海

    一家成立了 22 年的世界领先智能音箱公司 Sonos因为一次App更新正面临严重的声誉危机。该App 本应成为公司 CEO Patrick Spence 扩展市场的重要一环,但在更新之后却引发用户疯狂吐槽,导致公司的声誉大幅受损。

    Sonos 是一家世界领先的智能音箱公司,由 John MacFarlane、Craig Shelburne、Tom Cullen、Trung Mai 一群音乐发烧友创办。2018 年,Sonos 在纳斯达克上市,该公司表示自己不仅是一家硬件公司,也是软件公司。

    今年Sonos 公司发布了一次重要更新,万万没想到却捅了马蜂窝。此次App更新中出现了大量的BUG,导致用户体验极其糟糕。具体问题主要集中在以下三个方面:

    1.声音断断续续和音量失控:用户报告称,新应用程序导致声音断断续续,音量突然增大且无法调节,甚至设备在应用端偶发性“消失”。

    2.尖锐声响和睡眠问题:有用户反映,扬声器在半夜发出尖锐声响,吓坏了全家人和宠物,甚至有人因为害怕音量突然增大而不敢使用新系统。

    3.功能缺失和界面问题:新版应用删除了不少功能,如编辑歌曲队列、管理播放列表等,并且运行缓慢,系统控制难以使用

    此次软件更新问题影响了 Sonos 的新产品发布,原定即将推出的两款产品被迫推迟,包括备受期待的Sonos Arc 2条形音箱。该事故还导致公司股价下跌超过 35%,公司将本财年的最高收入预期从17亿美元下调至15亿美元,主流网站也撤回了对 Sonos 产品的广告推荐。

    据媒体报道,此次App更新出现大量bug的原因是,Sonos忽视了大量技术债,长期依赖过时的代码和基础设施,导致新应用发布后出现了大量BUG。公司为了追求快速开发和降低成本,大幅裁员了质量保证团队成员。同时,Sonos在2023年和2024年进行了多次裁员,主要集中在营销部门,以降低成本并确保对产品有意义的投资。

    事后,Sonos首席执行官帕特里克·斯彭斯公开道歉,并承诺将加速修复新应用程序中的错误,提高用户使用体验,而修复这些问题预计将耗费 2000 万至 3000 万美元。Sonos计划每两周推送一次更新,逐步修复BUG并增加新功能,如提高音量响应速度、改进用户界面等,希望可以提高用户体验并重新赢回用户信任。

    Sonos 智能音箱存在多个漏洞

    除了App更新出现bug外,Sonos 智能音箱还被曝存在严重的安全漏洞。

    2024年,NCC集团的研究人员向Sonos 报告了智能音箱中的多个漏洞,其中包括CVE-2023-50809漏洞,这个漏洞可能允许攻击者监听用户。研究人员在2024年BLACK HAT USA会议上披露了这些漏洞。CVE-2023-50809漏洞可以被攻击者在目标Sonos 智能音箱的Wi-Fi范围内exploit,以实现远程代码执行和控制设备。

    这个漏洞存在于设备的无线驱动程序中,而驱动程序在negotiating WPA2四个手动时未能正确验证信息元素。成功exploit这个漏洞可以使攻击者录制音频并将其传输到攻击者的服务器。

    Sonos 公司通过发布Sonos S2版本15.9对漏洞进行了修复,并通知客户说没有可用的工作周转。MediaTek,Sonos 音箱Wi-Fi SoC的制造商,在2024年3月发布了一份安全公告(CVE-2024-20018)。

    NCC Group也发布了一份白皮书,详细介绍了其专家在Sonos Era-100和Sonos One设备上实现任意代码执行的逆向工程过程和exploitation技术。

    # 数据安全
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者
    文章目录