亚马逊的 Alexa 是如今大热的一款智能音箱，只需你说出它的唤醒词，比如“Alexa”、“Echo”或 “Computer”，它就能对你的声音指令作出响应。不过，现在这一特性也让人们开始担心自己的隐私。来自安全公司 Checkmarx 的研究人员发现了一种方法，可以让 Alexa 窃听、记录并发送用户的谈话记录。 Checkmarx 的研究人员能够创造出一种看似无害的 Alexa 技能，在大多数技能被关闭以保护人们的隐私之后，这种技能将会持续生效。Checkmarx 的 AmitAshbel 告诉科技网站 CNET 的记者，这个技能可以持续记录谈话。“就我们所知，这个技能没有限制，”他说，“只要你不告诉它停止，它就不会停止。” Checkmarx 说他们在 4 月初通知了亚马逊这个漏洞，亚马逊向 CNET 的记者证实，目前已经解决了这个问题。“客户信任对我们很重要，我们会认真对待安全和隐私问题。”亚马逊的一位发言人在一份声明中说，“我们已经为检测这类技能行为提供了适当的缓解措施，当我们发现这样的漏洞时，我们会拒绝或抑制这些技能。” 稿源：凤凰网科技，封面源自网络网络；

援引 Wired 报道，国外破解达人已成功破解亚马逊 Echo，黑客可将其当作实时麦克风监听设备周围声音。整个破解过程需要进行拆机，并仅限于 2017 年发售的 Echo 设备，因此很难大规模推广。不过在成功破解之后，在没有说唤醒命令的情况下能实时执行用户下达的命令，此外还允许破解者远程恢复认证令牌和其他敏感数据。 专家 Mark Barnes 于 8 月 2 日在个人播客上公布详细破解过程。简单来说，Barnes 所使用的破解方式就是从插入的 SD 卡启动，类似于 LiveCD，然后访问并重写 Echo 固件。一旦固件被重新写入，已经成功破解的 Echo 就能发送所有麦克风捕捉到音频给第三方，随后即使移除 SD 卡也会保持破解状态。 亚马逊在声明中表示：“ 消费者的信任对于我们来说是至关重要的。为了确保最新的保障措施，我们一般都推荐用户从亚马逊官方网站或者可信赖的零售渠道进行购买，这样才能确保你的软件处于最新状态。” Barnes 的攻击目前仅适用于 2015 年和 2016 年款的 Echo，2017 年款的 Echo 的内部硬件做出调整已经阻止从 SD 卡进行启动。在没有移除纸 SPI 模式下，2017 年款 Echo 无法支持从 SD 卡进行启动，因此无法执行攻击。 稿源：cnBeta，封面源自网络；