如果你没有经常删除你在亚马逊语音助手Alexa上的语音历史记录,你可以有一个很好的理由开始:一个最近修复的漏洞,它会暴露你与智能扬声器的所有对话。
周四,网络安全公司Check Point的研究人员发布了一份报告,详细介绍了他们在亚马逊Alexa上发现的安全问题。Alexa可以让潜在的黑客获得个人与智能扬声器的对话记录,天辰收益以及在用户不知情的情况下在该设备上安装的技能。
“我们设备的安全是重中之重,我们感谢Check Point等独立研究人员的工作,他们给我们带来了潜在问题。”在这个问题引起我们的注意后,我们很快就解决了这个问题,我们将继续进一步加强我们的系统,”亚马逊发言人在一份声明中表示。
该公司说,研究人员今年6月曾联系过它,目前还没有发现任何使用该漏洞的情况。但安全方面的担忧可以作为一个强有力的提醒,尽量减少智能音箱的历史记录。
家用联网设备为黑客提供了一个新机会,智能语音助手也不例外。安全研究人员经常证明Alexa存在缺陷,比如一个陌生人大喊着要打开你的门,或者一个激光指示器能够在300英尺外激活你的设备。
研究人员说,由于攻击者需要在你家附近或者在你的扬声器的范围内,所以很多这样的担忧都得到了缓解,但Check Point发现的安全漏洞只需要点击一下就可以了。
亚马逊的子域名也有漏洞,比如track.amazon.com这样的url。虽然你可能会怀疑,避免点击可疑链接,但一个有亚马逊域名的URL可能足以让你相信你是安全的。
安全研究人员发现,他们能够向子域名注入代码,从而提取与你的Alexa账户绑定的安全令牌。使用这个令牌,一个潜在的攻击者可以冒充你来安装技能,获取你已经在使用的技能列表,并查看你的语音聊天历史与Alexa。
取决于你与Alexa的对话有多敏感,这可能意味着访问你的健康信息,天辰收益你的财务信息,或者只是你可能询问语音助手的无聊的日常事务。
“智能扬声器和虚拟助手如此普遍,以至于人们很容易忽视它们所持有的个人数据,以及它们在控制我们家中其他智能设备方面发挥的作用,”Check Point公司产品漏洞研究负责人奥德·瓦努努(Oded Vanunu)在一份声明中表示。“但黑客把它们视为进入人们生活的入口,让他们有机会在所有者不知情的情况下访问数据、窃听谈话或进行其他恶意行为。”我们开展这项研究是为了强调,保护这些设备对维护用户隐私至关重要。”
Check Point表示,攻击者可能已经开始通过安装一种技能来窃听对话,但亚马逊扫描任何恶意活动的技能,并将他们挡在其市场之外。语音历史记录是一个更大的问题,这个漏洞提醒你应该经常删除你与Alexa的对话。
和其他语音助理供应商一样,亚马逊保留你的语音历史记录,以提高其人工智能水平,除非你选择不参与,否则人类评审员也会听到这些对话。
你可以将你的语音记录设置为3个月或18个月后自动删除,但如果你想每天或每周删除,你就需要手动删除。
对于这样的漏洞,这是一个很好的做法,因为黑客有可能访问这些敏感记录。问问自己:与亚马逊有过一段对话的好处是否大于坏处?
虽然删除你的语音记录可以保护你免受潜在黑客的攻击,但你可能仍有一些关于亚马逊政策的隐私问题。
在2019年7月给参议员的一封信中,亚马逊表示,它无限期保留一些录音文本,即使音频本身已经被删除。