目前智能音箱风靡全球,全球销量的增长速度让人联想到智能手机行业的早期发展。两家公司的销量已经超过了包装供应商。在争夺世界主导权的过程中,亚马逊和谷歌都在尽一切努力让自己脱颖而出,相互竞争,每天都在大幅提升自己已经让人印象深刻的虚拟助手的功能,并不断扩大自己的硬件产品组合。
遗憾的是,尽管在相对较新的市场中具有长期增长潜力的激烈竞争为创新体验和应用的快速发展创造了理想的环境,但用户的安全和隐私可能会被严重忽视。值得称赞的是,谷歌和亚马逊似乎都在限制他们的语音控制设备可以收集的数据以及对上述信息进行错误处理的可能性,但仍然存在许多问题和担忧。
一个没有引起媒体广泛关注的非常微妙的问题,涉及到所谓的Alexa“技能”和Google Home“动作”的审核过程。这些可以通过官方商店添加到两家公司智能家居设备中的功能都是由第三方开发的,这使得它们容易受到外部攻击。
小心你的语音助手要求你做的事情。
通常,用户会问Alexa或Google Assistant问题,发布命令,设置警报等等。然而,正如一家名为SRLabs的公司上传到YouTube的两个视频所证明的那样,你的人工智能助手有时可能会要求你做一些事情,而不是相反。或者至少恶意的Echo或Google Home应用程序可能会让你相信。
专门从事安全研究的安全研究实验室开发了这样一个应用,旨在揭示Alexa和支持Google Assistant的设备令人震惊的漏洞。事实证明,伪装成具有一定地域限制的合法“幸运星座”服务,很容易植入基本的Alexa技能和Google Home操作,可以“隐藏”(语音钓鱼)用户的密码。
这些应用程序可能会诱使用户相信他们的设备,而不是真正的相关应用程序请求语音密码验证来安装软件更新。当然,这不是智能扬声器的更新方式,但这只是安全漏洞的一个例子,可以以非常严重的方式加以利用。其他例子包括询问密码对应的电子邮件地址,甚至是财务信息。
偷听也很容易。
SRLabs为验证谷歌和亚马逊应用审批机制的有效性而进行的另一项测试包括,在理论上停用后,操纵同样无辜的星座“技能”和“动作”来倾听对话。可以预见,仅仅要求第三方应用程序“停止”提供您之前请求的信息可能不会停止监听过程。
在这种情况下,入侵Echo和Google Home的工作方式略有不同,但最终的结果同样令人恐惧。你在这些设备上说的任何话都可能在很多方面对你有害,我们真的不想在这里详细讨论。
谷歌和亚马逊正在采用“机制”来提高安全性。
从技术上来说,这只是谷歌对SRLabs令人不安的爆料的回应,但亚马逊已经向Ars Technica提供了类似的措辞。虽然声明模棱两可,但该公司强调,从现在开始,已经采取了“缓解措施”来“预防和检测这种技能行为”。
顺带一提,SRLabs所做的并不是纯粹的理论上的,而是发布了已经被谷歌和亚马逊批准的恶意应用,在联系这两家科技巨头,删除钓鱼和窃听应用之前,很明显技能和动作的潜力并没有得到充分利用。
按照谷歌和亚马逊的说法,未来应该不会有这么明显的安全漏洞,但最好还是谨慎下载。记住,不要做语音助手可能会问的任何粗暴的事情。