亞馬遜有緩解措施 以便Alexa不會(huì)變成竊聽(tīng)者

亞馬遜修復(fù)了Checkmarx發(fā)現(xiàn)的潛在漏洞。后者的研究人員表示，即使你完全沒(méi)有意識(shí)到惡意的局外人正在將你的Echo變成聽(tīng)力設(shè)備，Alexa也可能會(huì)密切關(guān)注你。實(shí)驗(yàn)室偵探發(fā)現(xiàn)了一種讓亞馬遜語(yǔ)音助手不斷傾聽(tīng)的方法。

CNET的阿爾弗雷德·吳(Alfred Ng)表示，“亞馬遜表示自從修復(fù)了報(bào)道的問(wèn)題以來(lái)。” 例如，據(jù)Ng報(bào)道，亞馬遜取消了沉默譴責(zé)的能力，縮短了Alexa可以聆聽(tīng)的時(shí)間。

Checkmarx描述了發(fā)生了什么。“對(duì)于Echo，類(lèi)似于帶有語(yǔ)音助手的Google Home ，聆聽(tīng)是關(guān)鍵。該設(shè)備不斷聽(tīng)你說(shuō)它的喚醒詞(例如'Alexa')，以便它可以立即為你提供所需的東西，”說(shuō)Checkmarx。

但是研究人員很好奇。Echo能否記錄用戶(hù)而用戶(hù)不知道被記錄?這可能是一個(gè)沉默的竊聽(tīng)者，作為一個(gè)竊聽(tīng)設(shè)備嗎?

“亞馬遜Echo(其虛擬助手稱(chēng)為Alexa)是迄今為止售出最多的智能個(gè)人助理(IPA)，目前已售出超過(guò)3100萬(wàn)臺(tái)設(shè)備，”Checkmarx表示。“然而，隨著其受歡迎程度的提高，投資協(xié)議的主要問(wèn)題之一就是隱私，”他們指出的擔(dān)憂(yōu)包括擔(dān)心會(huì)在不知不覺(jué)中被記錄下來(lái)。

Maty Siman和Shimi Eshkenazi在Checkmarx實(shí)驗(yàn)室工作，看看如果他們?cè)噲D將他們的Amazon Echo變成攻絲設(shè)備會(huì)發(fā)生什么。

有線(xiàn)反映了他們甚至不必參與黑客攻擊語(yǔ)音助手將其變成間諜; 竊聽(tīng)來(lái)自于一些聰明的編碼。

Lily Hay Newman寫(xiě)了他們是如何解決這個(gè)問(wèn)題的。她說(shuō)，研究人員制作了“一種惡意的Alexa小程序 - 被稱(chēng)為'技能' - 可以上傳到亞馬遜的技能商店。”

(但是Skill是什么?Ng解釋說(shuō)Alexa使用技能執(zhí)行命令。“例如，你問(wèn)雨是否會(huì)來(lái)，而Alexa使用'天氣'技能來(lái)回答。”)

紐曼寫(xiě)道，“要使用某項(xiàng)技能，你必須說(shuō)明你的設(shè)備喚醒麥克風(fēng)開(kāi)始在互聯(lián)網(wǎng)上傳輸音頻以進(jìn)行處理。在Checkmarx的例子中，當(dāng)用戶(hù)然后要求他們啟用的計(jì)算器做一些簡(jiǎn)單的數(shù)學(xué)運(yùn)算時(shí)，該請(qǐng)求被路由到技能，返回答案。“

這就是事情變得有趣的地方。雖然交互將在那里結(jié)束，并且麥克風(fēng)將停止傳輸，但團(tuán)隊(duì)編寫(xiě)了技能，以便“稱(chēng)為'shouldEndSession'的開(kāi)發(fā)人員功能將自動(dòng)保持Echo監(jiān)聽(tīng)另一個(gè)周期。” 并且，隨著研究人員的進(jìn)一步調(diào)動(dòng)，他們發(fā)現(xiàn)Echo會(huì)保持安靜，不會(huì)讓用戶(hù)知道會(huì)話(huà)正在繼續(xù)。

Checkmarx列出了一些已落實(shí)的措施：設(shè)定特定標(biāo)準(zhǔn)以在認(rèn)證過(guò)程中識(shí)別(并在必要時(shí)拒絕)竊聽(tīng)技巧; 檢測(cè)空洞的反應(yīng)并采取適當(dāng)?shù)男袆?dòng); 檢測(cè)比平時(shí)更長(zhǎng)的會(huì)話(huà)并采取適當(dāng)?shù)拇胧?/p>

CNET中的Ng：Checkmarx表示亞馬遜的修復(fù)使得無(wú)法重復(fù)同樣的竊聽(tīng)策略。關(guān)于亞馬遜的反應(yīng)，有線(xiàn)傳播：公司發(fā)言人在一份聲明中表示，“我們已經(jīng)采取緩解措施來(lái)檢測(cè)這種技能行為，并拒絕或壓制這些技能。”