您的亞馬遜或Google家庭助理設(shè)備可能在監(jiān)視您

漏洞使您的家庭助理設(shè)備的收聽時間超出了應(yīng)有的時間，但這還不是全部。

諸如Amazon Echo或Google Home之類的智能揚(yáng)聲器可以監(jiān)聽您的聲音并提供反饋。此功能對用戶而言是驚人的，對于任何安全專業(yè)人員而言都是噩夢。這就是為什么那些安全研究人員和專業(yè)人員花費(fèi)大量時間和精力來戳穿這些智能揚(yáng)聲器的裝甲孔，以便他們將這些漏洞傳遞給制造產(chǎn)品的公司并盡快對其進(jìn)行修補(bǔ)。

SRLabs的研究人員與ZDNet分享了一個非常奇特的小技巧，該技巧使用特殊字符在您認(rèn)為麥克風(fēng)關(guān)閉時將其保持打開狀態(tài)。

研究人員一直在尋找破解家庭助手的方法。這是好事。

這些特殊字符可由Alexa或Google Assistant應(yīng)用或“技能”中的第三方開發(fā)人員使用。當(dāng)為這些設(shè)備供電的軟件遇到奇數(shù)字符時，它們會在設(shè)備靜音但仍在收聽的情況下插入較長的暫停時間。換句話說，您可以假設(shè)說話者不再在聽，而是在聽。

當(dāng)然，有多種方法可以將其用于各種欺騙手段，例如竊取密碼或只是聽您與房間中的其他人交談。

不會以任何方式繞過使您知道設(shè)備正在監(jiān)聽的硬件功能。您可以在上面的視頻中看到Echo的燈環(huán)一直都亮著。但是，并不是每個人都會注意到這一點(diǎn)，或者甚至不知道這意味著什么-他們只會知道Alexa或Assistant已經(jīng)完成交談并假設(shè)一切都完成了。這些視頻顯示了在Amazon設(shè)備上實(shí)際使用該漏洞的過程，但Google Home產(chǎn)品做的事情完全相同，并且以相同的方式繼續(xù)收聽。

這似乎是將您的家庭助理產(chǎn)品丟進(jìn)垃圾桶的一個很好的理由，但是現(xiàn)在還站不起來：這些第三方應(yīng)用程序不會輕易安裝，主要是因?yàn)镚oogle和Amazon都擁有大量在批準(zhǔn)其輔助平臺的應(yīng)用程序之前進(jìn)行檢查。駭客本身非常嚴(yán)重，但分發(fā)機(jī)會非常低。

我該怎么辦?

不要驚慌盡管絕對沒有理由說驅(qū)動Google Home或Amazon Echo的軟件遇到特殊字符時應(yīng)該采取這種方式(尤其是因?yàn)镾RLabs幾個月前已通知兩家公司)，但您不會安裝任何可以使用的東西除非您充當(dāng)開發(fā)人員并加載自己的應(yīng)用程序。如果您僅安裝來自Amazon或Google的認(rèn)可軟件，則說明您正在安裝已經(jīng)過檢查以確保不會發(fā)生這種情況。

可以檢查以確保沒有在任何已發(fā)布的應(yīng)用程序中使用此漏洞，但是最好修復(fù)漏洞。

兩家公司都不是一個很好的回應(yīng)。真正可以解決這個問題的修補(bǔ)程序可以避免這種行為，也可以阻止其首先發(fā)生，而不是依賴于應(yīng)用程序發(fā)布之前的手動檢查。沒有理由不能同時采用這兩種保護(hù)措施，我希望兩家公司都能做到。你也應(yīng)該這樣。但是，知道這種黑客行為的方式以及亞馬遜和谷歌的某人正在檢查以確保它不會出現(xiàn)在您喜歡的新聞應(yīng)用程序或議程跟蹤器中總比沒有好。

可能的是，這種不必要的宣傳會導(dǎo)致Amazon和Google都以正確的方式修復(fù)該缺陷，因此就可以了。希望它早日發(fā)生。