亞馬遜語音助理Alexa,出現隱私安全漏洞
周舟 / 何渝婷編譯
2020-08-17 10:30

智慧型手機、智慧型音箱等產品的流行,極大的便利了我們的生活,但同時也給我們帶來很多隱私上的煩惱。最近,亞馬遜語音助理Alexa,便在隱私問題上受到了人們的質疑。

本週四,網路安全公司Check Point的研究人員發布了一份報告,詳細介紹他們在亞馬遜Alexa上發現的安全問題。Alexa在隱私保護上,做得並不到位,駭客可以獲得用戶與Alexa的對話記錄,而且在用戶不知情的情況下,駭客可以在Alexa設備上安裝相關功能。

對於此份報告,亞馬遜發言人在一份聲明中表示:「我們對設備的安全問題十分重視,感謝Check Point等研究人員的工作,他們為我們發現了潛在問題。當注意到這一問題後,我們很快就解決了它,我們將進一步加強我們系統的安全力度。」

亞馬遜稱,目前還沒有發現有駭客使用該漏洞的情況。

但是,這一件事情可以作為一個強有力的提醒,人們可以盡量減少智慧音箱的歷史記錄。

智慧語音助手等家用聯網設備的廣泛流行和使用,為駭客侵犯人們的隱私,提供了一個新機會。安全研究人員發現Alexa經常出現bug,比如一個陌生人大喊大叫,你家的門就被打開了;一個雷射指示器能夠在300英尺外,啟動你的設備。

研究人員說,由於駭客需要在你家附近,或者在你的揚聲器的範圍內才可以「攻擊」,所以很多可能發生的風險並沒有出現,但Check Point發現的這個安全漏洞實在太「明顯」,人們只要輕輕點擊一下滑鼠就可以了。

亞馬遜的子域名也存在安全漏洞問題,比如track.amazon.com這樣的網站地址。雖然你可能會懷疑,避免點擊可疑連結,但一個有亞馬遜域名的網站地址,可能足以讓你相信你是安全的。

安全研究人員發現,不法分子能夠向子域名注入代碼,從而獲取與你的Alexa帳戶綁定的安全令牌。使用這個令牌,一個潛在的攻擊者可以冒充你來安裝功能,獲取你已經在使用的功能列表,並查看你與Alexa的語音聊天歷史記錄。

攻擊者們可以訪問你的健康資訊,你的財務資訊等你可能詢問語音助手的所有事情。

「智慧語音助手如此普遍,以至於人們很容易忽視它們所持有的個人數據,以及它們在控制我們家中其他智慧型設備方面發揮的作用。這使得駭客在所有者不知情的情況下,訪問數據、竊聽談話或進行其他惡意行為,保護這些設備對維護用戶隱私至關重要。」Check Point公司產品漏洞研究負責人Oded Vanunu,在一份聲明中表示。

Check Point認為,攻擊者可能已經開始透過安裝小應用程式來竊聽對話,語音歷史記錄是一個很大的問題,我們應該經常刪除與Alexa的對話的記錄。

和其他語音助理供應商一樣,亞馬遜通過保留你的語音歷史記錄,以提高其人工智慧水平,除非你選擇不參與,否則你的隱私就有被侵犯的可能。

本文為雷鋒網授權刊登,原文標題為「亞馬遜語音助手Alexa出現安全漏洞