“ Alexa,谁在入侵我的系统?”
超过2亿的Amazon Echo,Dot和Show所有者可能无法从受欢迎的个人助理那里得到答案,但这是他们可能开始问自己的问题。
安全公司Check Point的研究人员周四报道说,他们发现了一个漏洞,该漏洞可使黑客在用户不知情的情况下获取语音历史记录数据并安装Alexa技能或Google行为。这意味着可以获取用户与Alexa有关个人数据的对话,并将其用于渗透其Amazon设备。
Check Point解释说,一旦获得了个人数据,黑客就可以冒充合法用户,删除已安装的技能,并用包含恶意代码的篡改版本代替它。反过来,一旦受污染的程序被激活,黑客就可以通过窃听对话来获取敏感的用户数据。此类信息可能涉及用户可以通过亚马逊查询进行的金融交易,健康状况详细信息或个人交易。
黑客可能使用的一种方法是创建指向用于跟踪Amazon软件包的站点的合法链接。毫无戒心的用户单击链接将为黑客提供一个入口,使他们可以将已安装的技能与恶意的技能互换。
Check Point产品漏洞研究负责人Oded Vanunu表示:“智能扬声器和虚拟助手非常普遍,以至于很容易忽略它们所拥有的个人数据的数量以及它们在控制我们家中其他智能设备方面的作用。“但是,黑客将它们视为人们生活的切入点,使他们有机会在所有者不知情的情况下访问数据,窃听对话或进行其他恶意行为。我们进行了这项研究,以强调保护这些设备对于维护用户的安全至关重要。隐私。”
亚马逊表示已经修补了这些漏洞,并对是否发生了实际的违反行为表示怀疑。亚马逊补充说,银行信息(例如余额)已从Alexa的日志中删除。
Check Point确认Amazon不会记录银行登录凭据,并强调要对Amazon商店中的所有应用程序或技能进行筛查,以查找可能的恶意行为。但是Check Point指出,已记录了包括银行业务在内的所有交互,因此某些数据可能会遭到破坏。Check Point在谈到其研究结果时说:“我们还可以获得用户名和电话号码,具体取决于用户Alexa帐户中安装的技能。”
同时,亚马逊发言人说:“我们不知道有任何情况可以利用此漏洞对我们的客户使用或暴露任何客户信息。”
默认情况下,亚马逊会保留与Echo设备进行语音交易的记录,这是其人工智能工作的一部分。亚马逊员工还可以收听这些交流。用户可以选择拒绝通过Alexa应用访问这些对话。此外,用户可以将Echo设置为每三个或18个月自动删除一次语音记录。那些想要更频繁擦除的操作可以每天或每周手动进行。
应当指出,亚马逊已经报告说,在删除音频后,它会保留某些对话的记录。