Alexa和Google Home曝重大漏洞，黑客可监听并窃取密码

10月22日消息，据外媒报道，Security Research Labs（后文简称SRLabs）的研究员近日发现Alexa和Google Home中存在重大漏洞，黑客可以伪装成Alexa的功能或者Google Home中的三方程序，来实现用户窃听和信息盗取。

SRLabs研究人员表示，通过“喂”给这些智能助手他们不会发音的字符，就可以让助手在静默的同时接收用户信息。不过SRLabs在公开这些漏洞前，已经提前通知亚马逊和谷歌，二者均已做出应对调整。但此次漏洞的公开无疑为用户再次敲响了安全防范意识的警钟。

一、巧妙的伪装

▲图片来源：SRLabs

SRLabs的研究人员发现，此次发现的漏洞，对于谷歌和亚马逊的智能音箱都会产生影响，黑客可以通过此漏洞长时间的窃听用户的对话，甚至诱骗用户输入账户密码。

对于Google Home，黑客可以通过第三方软件植入恶意程序，在执行完用户的初始命令后，会长时间的保持静默状态，但实际是一直处于监听模式，用户说的每一个字，都会被记录转发。

而Alexa这边，它的星座运势功能成为了黑客的突破口，不法分子可以让该功能忽略用户发出的“停止”命令，从而保持长时间的静默，实现监听。

另外，黑客还可以通过音箱发送虚假消息，误导用户给出自己的密码。

其实，SRLabs只利用了两个语音助手中的一个共同漏洞，就是“喂”给这些智能助手一些他们不会发音的词语或者字符，这样，用户就会觉得音箱什么都没说，已经执行完命令了。但实际上音箱还在等待着其他命令，所以就会保持非常长时间的收听状态，从而获取用户信息。

二、漏洞已修复

按理说，智能音箱的第三方应用都是要经过谷歌和亚马逊的严格审查才可以上架，不应出现此类事件。但据外媒了解，现在这两家公司对于现有应用程序的更新，是不检查的，因此使得研究员们有机会植入恶意代码，从而实现操控。

SRLabs在公开此漏洞前，已经提前通知了谷歌和亚马逊。

谷歌已经加强了对于此类行为的检查，删除了研究员们创建的“小动作”。并且对于第三方程序的审核，也更加严格；亚马逊也采取了新的措施，一旦发现此类行为，就会限制音箱相关功能的使用。

外媒指出，这已经不是研究人员第一次把Alexa或者Google Home变成窃听工具了。用户目前最好的方式，就是选择信任的公司和三方程序，并且在使用过程中更加注意个人信息的安全问题。

结语：智能语音厂商应将安全性始终挂在心上

自从亚马逊的Echo敲开了智能音箱市场的大门，这一行业便开启了野蛮生长之路。各种智能语音设备层出不穷。

在带给人们“现代感”、“智能化”体验的同时，隐私、安全等问题也被提到了舆论的风口，一方面，用户需要在选择三方应用程序的时候，擦亮双眼，提高安全意识；另一方面，厂商必须肩负起责任，严格检查，从源头掐断隐患，才能“治本”。

原文来自：Theverge