亚马逊有缓解措施 以便Alexa不会变成窃听者

亚马逊修复了Checkmarx发现的潜在漏洞。后者的研究人员表示，即使你完全没有意识到恶意的局外人正在将你的Echo变成听力设备，Alexa也可能会密切关注你。实验室侦探发现了一种让亚马逊语音助手不断倾听的方法。

CNET的阿尔弗雷德·吴(Alfred Ng)表示，“亚马逊表示自从修复了报道的问题以来。” 例如，据Ng报道，亚马逊取消了沉默谴责的能力，缩短了Alexa可以聆听的时间。

Checkmarx描述了发生了什么。“对于Echo，类似于带有语音助手的Google Home ，聆听是关键。该设备不断听你说它的唤醒词(例如'Alexa')，以便它可以立即为你提供所需的东西，”说Checkmarx。

但是研究人员很好奇。Echo能否记录用户而用户不知道被记录?这可能是一个沉默的窃听者，作为一个窃听设备吗?

“亚马逊Echo(其虚拟助手称为Alexa)是迄今为止售出最多的智能个人助理(IPA)，目前已售出超过3100万台设备，”Checkmarx表示。“然而，随着其受欢迎程度的提高，投资协议的主要问题之一就是隐私，”他们指出的担忧包括担心会在不知不觉中被记录下来。

Maty Siman和Shimi Eshkenazi在Checkmarx实验室工作，看看如果他们试图将他们的Amazon Echo变成攻丝设备会发生什么。

有线反映了他们甚至不必参与黑客攻击语音助手将其变成间谍; 窃听来自于一些聪明的编码。

Lily Hay Newman写了他们是如何解决这个问题的。她说，研究人员制作了“一种恶意的Alexa小程序 - 被称为'技能' - 可以上传到亚马逊的技能商店。”

(但是Skill是什么?Ng解释说Alexa使用技能执行命令。“例如，你问雨是否会来，而Alexa使用'天气'技能来回答。”)

纽曼写道，“要使用某项技能，你必须说明你的设备唤醒麦克风开始在互联网上传输音频以进行处理。在Checkmarx的例子中，当用户然后要求他们启用的计算器做一些简单的数学运算时，该请求被路由到技能，返回答案。“

这就是事情变得有趣的地方。虽然交互将在那里结束，并且麦克风将停止传输，但团队编写了技能，以便“称为'shouldEndSession'的开发人员功能将自动保持Echo监听另一个周期。” 并且，随着研究人员的进一步调动，他们发现Echo会保持安静，不会让用户知道会话正在继续。

Checkmarx列出了一些已落实的措施：设定特定标准以在认证过程中识别(并在必要时拒绝)窃听技巧; 检测空洞的反应并采取适当的行动; 检测比平时更长的会话并采取适当的措施。

CNET中的Ng：Checkmarx表示亚马逊的修复使得无法重复同样的窃听策略。关于亚马逊的反应，有线传播：公司发言人在一份声明中表示，“我们已经采取缓解措施来检测这种技能行为，并拒绝或压制这些技能。”