您的亞馬遜或Google家庭助理設備可能在監(jiān)視您

漏洞使您的家庭助理設備的收聽時間超出了應有的時間，但這還不是全部。

諸如Amazon Echo或Google Home之類的智能揚聲器可以監(jiān)聽您的聲音并提供反饋。此功能對用戶而言是驚人的，對于任何安全專業(yè)人員而言都是噩夢。這就是為什么那些安全研究人員和專業(yè)人員花費大量時間和精力來戳穿這些智能揚聲器的裝甲孔，以便他們將這些漏洞傳遞給制造產(chǎn)品的公司并盡快對其進行修補。

SRLabs的研究人員與ZDNet分享了一個非常奇特的小技巧，該技巧使用特殊字符在您認為麥克風關閉時將其保持打開狀態(tài)。

研究人員一直在尋找破解家庭助手的方法。這是好事。

這些特殊字符可由Alexa或Google Assistant應用或“技能”中的第三方開發(fā)人員使用。當為這些設備供電的軟件遇到奇數(shù)字符時，它們會在設備靜音但仍在收聽的情況下插入較長的暫停時間。換句話說，您可以假設說話者不再在聽，而是在聽。

當然，有多種方法可以將其用于各種欺騙手段，例如竊取密碼或只是聽您與房間中的其他人交談。

不會以任何方式繞過使您知道設備正在監(jiān)聽的硬件功能。您可以在上面的視頻中看到Echo的燈環(huán)一直都亮著。但是，并不是每個人都會注意到這一點，或者甚至不知道這意味著什么-他們只會知道Alexa或Assistant已經(jīng)完成交談并假設一切都完成了。這些視頻顯示了在Amazon設備上實際使用該漏洞的過程，但Google Home產(chǎn)品做的事情完全相同，并且以相同的方式繼續(xù)收聽。

這似乎是將您的家庭助理產(chǎn)品丟進垃圾桶的一個很好的理由，但是現(xiàn)在還站不起來：這些第三方應用程序不會輕易安裝，主要是因為Google和Amazon都擁有大量在批準其輔助平臺的應用程序之前進行檢查。駭客本身非常嚴重，但分發(fā)機會非常低。

我該怎么辦?

不要驚慌盡管絕對沒有理由說驅動Google Home或Amazon Echo的軟件遇到特殊字符時應該采取這種方式(尤其是因為SRLabs幾個月前已通知兩家公司)，但您不會安裝任何可以使用的東西除非您充當開發(fā)人員并加載自己的應用程序。如果您僅安裝來自Amazon或Google的認可軟件，則說明您正在安裝已經(jīng)過檢查以確保不會發(fā)生這種情況。

可以檢查以確保沒有在任何已發(fā)布的應用程序中使用此漏洞，但是最好修復漏洞。

兩家公司都不是一個很好的回應。真正可以解決這個問題的修補程序可以避免這種行為，也可以阻止其首先發(fā)生，而不是依賴于應用程序發(fā)布之前的手動檢查。沒有理由不能同時采用這兩種保護措施，我希望兩家公司都能做到。你也應該這樣。但是，知道這種黑客行為的方式以及亞馬遜和谷歌的某人正在檢查以確保它不會出現(xiàn)在您喜歡的新聞應用程序或議程跟蹤器中總比沒有好。

可能的是，這種不必要的宣傳會導致Amazon和Google都以正確的方式修復該缺陷，因此就可以了。希望它早日發(fā)生。