Amazon har begrænsninger, så Alexa ikke bliver til aflytning

Amazon har rettet en potentiel udnyttelse opdaget af Checkmarx. Sidstnævntes forskere sagde, at Alexa muligvis kunne holde øje med dig, selvom du var fuldstændig uvidende om, at ondsindede outsidere forvandlede dit Echo til en lytteenhed. Laboratorieforskerne opdagede en måde at holde Amazons stemmeassistent til at lytte konstant.

Alfred Ng i CNET sagde "Amazon sagde, at det siden har løst de rapporterede problemer." For eksempel, Ng rapporterede, Amazon fjernede muligheden for at dæmpe opfordringer, og det forkortede den tid, Alexa kunne lytte efter.

Checkmarx beskrev, hvad der foregik. "For ekkoet, ligner Google Home med stemmeassistent, at lytte er nøglen. Enheden lytter konstant for at fange dig i at sige dets vækkeord (f.eks. 'Alexa'), så det kan give dig det, du har brug for med det samme, " sagde Checkmarx.

Men forskerne blev nysgerrige. Kunne Echo optage en bruger, uden at brugeren var klar over at blive optaget? Kunne dette være en tavs aflytning, fungerer som en tappeanordning?

"Amazon Echo (med dens virtuelle assistent kendt som Alexa) er den mest solgte Intelligente Personal Assistant (IPA) nogensinde, med over 31 millioner solgte enheder til dato, sagde Checkmarx. med sin stigning i popularitet, en af ​​de største bekymringer med IPA'er er privatlivets fred, " og de bemærkede, at bekymringer omfattede frygten for ubevidst at blive optaget.

Maty Siman og Shimi Eshkenazi arbejdede i Checkmarx-laboratoriet for at se, hvad der kunne ske, hvis de forsøgte at forvandle deres Amazon Echo til en aflytning.

Kablet afspejlede, hvordan de ikke engang behøvede at blive involveret i at hacke stemmeassistenten for at gøre den til en spion; aflytning kom fra bare nogle smarte kodninger.

Lily Hay Newman skrev om, hvordan de fandt ud af det. Hun sagde, at forskerne skabte "en ondsindet Alexa-applet - kendt som en 'færdighed' - som kunne uploades til Amazons Skill Store."

(Men hvad er Skill? Ng forklarede, at Alexa bruger Skills til at udføre kommandoer. "Du spørger, om der kommer regn, for eksempel, og Alexa bruger evnen 'Vejr' til at svare.")

Newman skrev, "At bruge en færdighed, du skal sige din enheds wake word for at mikrofonen kan begynde at sende lyd over internettet til behandling. I Checkmarx' eksempel, når brugeren derefter beder deres aktiverede lommeregner om at lave noget simpelt regnestykke, denne anmodning sendes til færdigheden, som returnerer svaret."

Det var der, tingene blev interessante. Selvom interaktionen ville ende der, og mikrofonen ville stoppe med at sende, holdet programmerede færdigheden således, at "en udviklerfunktion kaldet 'shouldEndSession' automatisk ville holde ekkoet til at lytte i endnu en cyklus." Og, med yderligere tiltag fra forskernes side, de fandt ud af, at Echo ville forblive stille og ikke lade en bruger vide, at sessionen fortsatte.

Checkmarx fortalte Amazon om deres angrebsscenarie, og Amazon lyttede (ingen sarkasme tilsigtet).

Checkmarx listede nogle af de foranstaltninger, der blev iværksat:Opstilling af specifikke kriterier for at identificere (og om nødvendigt afvise) aflytningskompetencer under certificering; opdage tomme-beskeder og træffe passende handlinger; opdage længere end sædvanlige sessioner og træffe passende handlinger.

Ng i CNET:Checkmarx sagde, at Amazons rettelser gjorde det umuligt at gentage den samme aflytningtaktik. Hvad angår Amazons reaktion, båret ind Kablet :En talsmand for virksomheden sagde i en erklæring, at "Vi har indført begrænsninger for at opdage denne type færdighedsadfærd og afviser eller undertrykker disse færdigheder, når vi gør det."

© 2018 Tech Xplore