亞馬遜有緩解措施 以便Alexa不會變成竊聽者

亞馬遜修復了Checkmarx發(fā)現(xiàn)的潛在漏洞。后者的研究人員表示，即使你完全沒有意識到惡意的局外人正在將你的Echo變成聽力設備，Alexa也可能會密切關注你。實驗室偵探發(fā)現(xiàn)了一種讓亞馬遜語音助手不斷傾聽的方法。

CNET的阿爾弗雷德·吳(Alfred Ng)表示，“亞馬遜表示自從修復了報道的問題以來。” 例如，據Ng報道，亞馬遜取消了沉默譴責的能力，縮短了Alexa可以聆聽的時間。

Checkmarx描述了發(fā)生了什么。“對于Echo，類似于帶有語音助手的Google Home ，聆聽是關鍵。該設備不斷聽你說它的喚醒詞(例如'Alexa')，以便它可以立即為你提供所需的東西，”說Checkmarx。

但是研究人員很好奇。Echo能否記錄用戶而用戶不知道被記錄?這可能是一個沉默的竊聽者，作為一個竊聽設備嗎?

“亞馬遜Echo(其虛擬助手稱為Alexa)是迄今為止售出最多的智能個人助理(IPA)，目前已售出超過3100萬臺設備，”Checkmarx表示。“然而，隨著其受歡迎程度的提高，投資協(xié)議的主要問題之一就是隱私，”他們指出的擔憂包括擔心會在不知不覺中被記錄下來。

Maty Siman和Shimi Eshkenazi在Checkmarx實驗室工作，看看如果他們試圖將他們的Amazon Echo變成攻絲設備會發(fā)生什么。

有線反映了他們甚至不必參與黑客攻擊語音助手將其變成間諜; 竊聽來自于一些聰明的編碼。

Lily Hay Newman寫了他們是如何解決這個問題的。她說，研究人員制作了“一種惡意的Alexa小程序 - 被稱為'技能' - 可以上傳到亞馬遜的技能商店。”

(但是Skill是什么?Ng解釋說Alexa使用技能執(zhí)行命令。“例如，你問雨是否會來，而Alexa使用'天氣'技能來回答。”)

紐曼寫道，“要使用某項技能，你必須說明你的設備喚醒麥克風開始在互聯(lián)網上傳輸音頻以進行處理。在Checkmarx的例子中，當用戶然后要求他們啟用的計算器做一些簡單的數學運算時，該請求被路由到技能，返回答案。“

這就是事情變得有趣的地方。雖然交互將在那里結束，并且麥克風將停止傳輸，但團隊編寫了技能，以便“稱為'shouldEndSession'的開發(fā)人員功能將自動保持Echo監(jiān)聽另一個周期。” 并且，隨著研究人員的進一步調動，他們發(fā)現(xiàn)Echo會保持安靜，不會讓用戶知道會話正在繼續(xù)。

Checkmarx列出了一些已落實的措施：設定特定標準以在認證過程中識別(并在必要時拒絕)竊聽技巧; 檢測空洞的反應并采取適當的行動; 檢測比平時更長的會話并采取適當的措施。

CNET中的Ng：Checkmarx表示亞馬遜的修復使得無法重復同樣的竊聽策略。關于亞馬遜的反應，有線傳播：公司發(fā)言人在一份聲明中表示，“我們已經采取緩解措施來檢測這種技能行為，并拒絕或壓制這些技能。”