“ Alexa，誰(shuí)在入侵我的系統(tǒng)?”

超過(guò)2億的Amazon Echo，Dot和Show所有者可能無(wú)法從受歡迎的個(gè)人助理那里得到答案，但這是他們可能開始問(wèn)自己的問(wèn)題。

安全公司Check Point的研究人員周四報(bào)道說(shuō)，他們發(fā)現(xiàn)了一個(gè)漏洞，該漏洞可使黑客在用戶不知情的情況下獲取語(yǔ)音歷史記錄數(shù)據(jù)并安裝Alexa技能或Google行為。這意味著可以獲取用戶與Alexa有關(guān)個(gè)人數(shù)據(jù)的對(duì)話，并將其用于滲透其Amazon設(shè)備。

Check Point解釋說(shuō)，一旦獲得了個(gè)人數(shù)據(jù)，黑客就可以冒充合法用戶，刪除已安裝的技能，并用包含惡意代碼的篡改版本代替它。反過(guò)來(lái)，一旦受污染的程序被激活，黑客就可以通過(guò)竊聽對(duì)話來(lái)獲取敏感的用戶數(shù)據(jù)。此類信息可能涉及用戶可以通過(guò)亞馬遜查詢進(jìn)行的金融交易，健康狀況詳細(xì)信息或個(gè)人交易。

黑客可能使用的一種方法是創(chuàng)建指向用于跟蹤Amazon軟件包的站點(diǎn)的合法鏈接。毫無(wú)戒心的用戶單擊鏈接將為黑客提供一個(gè)入口，使他們可以將已安裝的技能與惡意的技能互換。

Check Point產(chǎn)品漏洞研究負(fù)責(zé)人Oded Vanunu表示：“智能揚(yáng)聲器和虛擬助手非常普遍，以至于很容易忽略它們所擁有的個(gè)人數(shù)據(jù)的數(shù)量以及它們?cè)诳刂莆覀兗抑衅渌悄茉O(shè)備方面的作用。“但是，黑客將它們視為人們生活的切入點(diǎn)，使他們有機(jī)會(huì)在所有者不知情的情況下訪問(wèn)數(shù)據(jù)，竊聽對(duì)話或進(jìn)行其他惡意行為。我們進(jìn)行了這項(xiàng)研究，以強(qiáng)調(diào)保護(hù)這些設(shè)備對(duì)于維護(hù)用戶的安全至關(guān)重要。隱私。”

亞馬遜表示已經(jīng)修補(bǔ)了這些漏洞，并對(duì)是否發(fā)生了實(shí)際的違反行為表示懷疑。亞馬遜補(bǔ)充說(shuō)，銀行信息(例如余額)已從Alexa的日志中刪除。

Check Point確認(rèn)Amazon不會(huì)記錄銀行登錄憑據(jù)，并強(qiáng)調(diào)要對(duì)Amazon商店中的所有應(yīng)用程序或技能進(jìn)行篩查，以查找可能的惡意行為。但是Check Point指出，已記錄了包括銀行業(yè)務(wù)在內(nèi)的所有交互，因此某些數(shù)據(jù)可能會(huì)遭到破壞。Check Point在談到其研究結(jié)果時(shí)說(shuō)：“我們還可以獲得用戶名和電話號(hào)碼，具體取決于用戶Alexa帳戶中安裝的技能。”

同時(shí)，亞馬遜發(fā)言人說(shuō)：“我們不知道有任何情況可以利用此漏洞對(duì)我們的客戶使用或暴露任何客戶信息。”

默認(rèn)情況下，亞馬遜會(huì)保留與Echo設(shè)備進(jìn)行語(yǔ)音交易的記錄，這是其人工智能工作的一部分。亞馬遜員工還可以收聽這些交流。用戶可以選擇拒絕通過(guò)Alexa應(yīng)用訪問(wèn)這些對(duì)話。此外，用戶可以將Echo設(shè)置為每三個(gè)或18個(gè)月自動(dòng)刪除一次語(yǔ)音記錄。那些想要更頻繁擦除的操作可以每天或每周手動(dòng)進(jìn)行。

應(yīng)當(dāng)指出，亞馬遜已經(jīng)報(bào)告說(shuō)，在刪除音頻后，它會(huì)保留某些對(duì)話的記錄。