亚马逊修复了一个允许黑客监控Alexa设备的漏洞
亚马逊Echo智能音箱最方便的一点是,Alexa随时准备好聆听你的命令。然而,来自安全测试公司Checkmarx的一个团队想看看这个一直存在的功能是否能把这个小工具变成黑客设备——答案是肯定的。
Checkmarx可以创造一种技能,让黑客能够监听Echo设备和用户之间的对话。本月早些时候,亚马逊解决了这个问题,但随着我们的家庭变得更加紧密,语音助理扬声器变得更加普遍,这一事件已经成为一个警示。
Checkmarx是这样做的:通常情况下,Alexa在执行一个命令后会停止监听,直到你说出“Alexa”唤醒词,它才会再次启动。然而,研究人员发现,黑客可以利用Alexa的“重启”功能。如果Alexa第一次听不懂你说的话,她会让你知道这一点,并继续听,直到你重复自己。
checkmarx的研究人员发现,黑客可以开发一种Alexa技能,让虚拟助手继续监听,即使他们最初知道一个命令。当Alexa要求用户重复一个提示时,他们也能够将后续的声音静音,从而使说话者保持沉默但继续听。Checkmarx黑客的下一部分涉及为Alexa安排一种方法,不仅可以在人们没有意识到的情况下继续收听,还可以转录她听到的内容。当人们与Alexa交谈时,亚马逊的服务器会存储音频内容。
通常,制作技能的开发人员会得到这些对话的抄本,只要口语是在技能的背景下进行的。在这种情况下,Checkmarx的团队在Alexa的内置字典中记录了任何单词。
说到云存储数据,用户有很多安全考虑需要担心。考虑到这一点,Checkmarx的研究人员希望确保他们的发现在现实生活中是真实的。他们创造了一种看似无辜的计算器技能,这让Alexa持续听了一分多钟,直到有人告诉它停止使用Checkmarx。房间里的人在说话,因为技能总是在运行。他们发现,事实上,这段对话是逐字记录的,这有效地赋予了一个人通过阅读文本“偷听”的能力。
本月早些时候,Checkmarx联系亚马逊,告知公司设备的缺陷,亚马逊在4月10日解决了问题。
Checkmarx产品营销总监AmitAshbel表示,亚马逊缩短了Alexa继续收听的时间,消除了Alexa重复对话保持沉默的能力。这些调整使得再造黑客成为不可能。亚马逊没有对黑客事件发表评论。
如果你担心Alexa在听你说话,你可以随时进入应用程序,删除你的历史记录。
标签: