您的亞馬遜或Google家庭助理設(shè)備可能在監(jiān)視您

漏洞使您的家庭助理設(shè)備的收聽(tīng)時(shí)間超出了應(yīng)有的時(shí)間，但這還不是全部。

諸如Amazon Echo或Google Home之類的智能揚(yáng)聲器可以監(jiān)聽(tīng)您的聲音并提供反饋。此功能對(duì)用戶而言是驚人的，對(duì)于任何安全專業(yè)人員而言都是噩夢(mèng)。這就是為什么那些安全研究人員和專業(yè)人員花費(fèi)大量時(shí)間和精力來(lái)戳穿這些智能揚(yáng)聲器的裝甲孔，以便他們將這些漏洞傳遞給制造產(chǎn)品的公司并盡快對(duì)其進(jìn)行修補(bǔ)。

SRLabs的研究人員與ZDNet分享了一個(gè)非常奇特的小技巧，該技巧使用特殊字符在您認(rèn)為麥克風(fēng)關(guān)閉時(shí)將其保持打開(kāi)狀態(tài)。

研究人員一直在尋找破解家庭助手的方法。這是好事。

這些特殊字符可由Alexa或Google Assistant應(yīng)用或“技能”中的第三方開(kāi)發(fā)人員使用。當(dāng)為這些設(shè)備供電的軟件遇到奇數(shù)字符時(shí)，它們會(huì)在設(shè)備靜音但仍在收聽(tīng)的情況下插入較長(zhǎng)的暫停時(shí)間。換句話說(shuō)，您可以假設(shè)說(shuō)話者不再在聽(tīng)，而是在聽(tīng)。

當(dāng)然，有多種方法可以將其用于各種欺騙手段，例如竊取密碼或只是聽(tīng)您與房間中的其他人交談。

不會(huì)以任何方式繞過(guò)使您知道設(shè)備正在監(jiān)聽(tīng)的硬件功能。您可以在上面的視頻中看到Echo的燈環(huán)一直都亮著。但是，并不是每個(gè)人都會(huì)注意到這一點(diǎn)，或者甚至不知道這意味著什么-他們只會(huì)知道Alexa或Assistant已經(jīng)完成交談并假設(shè)一切都完成了。這些視頻顯示了在Amazon設(shè)備上實(shí)際使用該漏洞的過(guò)程，但Google Home產(chǎn)品做的事情完全相同，并且以相同的方式繼續(xù)收聽(tīng)。

這似乎是將您的家庭助理產(chǎn)品丟進(jìn)垃圾桶的一個(gè)很好的理由，但是現(xiàn)在還站不起來(lái)：這些第三方應(yīng)用程序不會(huì)輕易安裝，主要是因?yàn)镚oogle和Amazon都擁有大量在批準(zhǔn)其輔助平臺(tái)的應(yīng)用程序之前進(jìn)行檢查。駭客本身非常嚴(yán)重，但分發(fā)機(jī)會(huì)非常低。

我該怎么辦?

不要驚慌盡管絕對(duì)沒(méi)有理由說(shuō)驅(qū)動(dòng)Google Home或Amazon Echo的軟件遇到特殊字符時(shí)應(yīng)該采取這種方式(尤其是因?yàn)镾RLabs幾個(gè)月前已通知兩家公司)，但您不會(huì)安裝任何可以使用的東西除非您充當(dāng)開(kāi)發(fā)人員并加載自己的應(yīng)用程序。如果您僅安裝來(lái)自Amazon或Google的認(rèn)可軟件，則說(shuō)明您正在安裝已經(jīng)過(guò)檢查以確保不會(huì)發(fā)生這種情況。

可以檢查以確保沒(méi)有在任何已發(fā)布的應(yīng)用程序中使用此漏洞，但是最好修復(fù)漏洞。

兩家公司都不是一個(gè)很好的回應(yīng)。真正可以解決這個(gè)問(wèn)題的修補(bǔ)程序可以避免這種行為，也可以阻止其首先發(fā)生，而不是依賴于應(yīng)用程序發(fā)布之前的手動(dòng)檢查。沒(méi)有理由不能同時(shí)采用這兩種保護(hù)措施，我希望兩家公司都能做到。你也應(yīng)該這樣。但是，知道這種黑客行為的方式以及亞馬遜和谷歌的某人正在檢查以確保它不會(huì)出現(xiàn)在您喜歡的新聞應(yīng)用程序或議程跟蹤器中總比沒(méi)有好。

可能的是，這種不必要的宣傳會(huì)導(dǎo)致Amazon和Google都以正確的方式修復(fù)該缺陷，因此就可以了。希望它早日發(fā)生。