你聰明的演講者的技巧可能是一個巨大的隱私問題

亞馬遜和谷歌的智慧音箱都允許你用各種各樣的擴充套件來補充它們，就像你安裝第三方附加元件讓你的網路瀏覽體驗更好一樣。關鍵在於：與瀏覽器附加元件一樣，您完全受開發人員的擺佈。如果他們利用他們的力量作惡，你可能會把你對你的裝置說的一切都交給某個隨機的人。...

Illustration for article titled Your Smart Speaker's Skills Might Be a Huge Privacy Problem

亞馬遜和谷歌的智慧音箱都允許你用各種各樣的擴充套件來補充它們，就像你安裝第三方附加元件讓你的網路瀏覽體驗更好一樣。關鍵在於：與瀏覽器附加元件一樣，您完全受開發人員的擺佈。如果他們利用他們的力量作惡，你可能會把你對你的裝置說的一切都交給某個隨機的人。

至少，這是德國安全研究實驗室（SRLabs）提出的方案，他們建立了許多虛擬技能（Amazon）和操作（Google），透過了這兩家公司的檢查，並實際被列為下載到Echo或Google家庭裝置。抓住了嗎？正如Ars Technica所描述的：

“這些惡意應用程式的名稱不同，工作方式略有不同，但它們都遵循類似的流程。使用者會說這樣一句話：“嘿，亞歷克薩，請我的幸運星座給我金牛座的星座”或“好吧，谷歌，請我的幸運星座給我金牛座的星座。”竊聽應用程式回應了請求的資訊，而釣魚應用程式給出了一個虛假的錯誤訊息。然後這些應用程式給人的印象是它們不再運行了，實際上，它們在默默地等待下一階段的攻擊。

安全研究人員實際上開發了兩種應用程式，一種用於竊聽，另一種用於釣魚，兩者的工作原理相似。在前一種情況下，應用程式只需執行你讓它執行的任何操作，但它不會停止錄製你的聲音；在後者中，應用程式會假裝完成一項任務，稍等片刻，然後給你一條假訊息，說你的裝置已更新，你需要提供密碼才能完成更新。然後你提供的任何密碼都會被轉移到開發人員的伺服器上。

此後，亞馬遜和谷歌在接到SRLabs的通知後都取消了這些違規技能/行為，並正在研究額外的“機制”和“緩解措施”，以確保這些漏洞不會進入其他技能和行為。以下是他們提供給Ars Technica的宣告片段：

亞馬遜：

“客戶信任對我們來說很重要，我們進行安全審查是技能認證過程的一部分。我們很快阻止了有問題的技能，並採取了相應的緩解措施，以防止和檢測此類技能行為，併在發現時拒絕或取消這些行為。”

谷歌：

“谷歌的所有行動都必須遵循我們的開發者政策，我們禁止並刪除任何違反這些政策的行動。我們已經回顧了檢測本報告中描述的行為型別的過程，並刪除了我們從這些研究人員那裡發現的行為。我們正在建立更多的機制，以防止這些問題在未來發生。”

下載技能時要小心

事情是這樣的。人們總是試圖找到新的方法來竊取你的資料。亞馬遜和谷歌是聰明的，但並非絕對正確。展望未來，你應該像對待瀏覽器擴充套件一樣對待聰明的演講者技能，如果不是更重要的話。這意味著不要安裝聽起來很整潔的技能或操作，而是來自第三方來源或你從未聽說過的獨立開發人員。如果你的裝置沒有一個特別的附加元件，你絕對活不下去，那麼至少你要勤勉一點：還有其他人用過這個附加元件嗎？這些評論看起來真實而不垃圾嗎？這個附加元件對你的日常活動來說是絕對必要的，還是隻是一些有趣的古怪的東西，你會用幾次就忘了？

當你安裝了智慧揚聲器附加元件後，確保你正在檢查你的裝置，看它是否保持開啟狀態，併在附加元件完成你要求它做的任何事情後進行錄製。如果是這樣，請停止它，並解除安裝該載入項，因為這不是一個好的做法。同樣，當你的裝置突然要求你做一些事情時，尤其是在你使用某項特定技能後不久，要小心。我不是夏洛克，但如果你的智慧揚聲器突然想讓你驗證密碼，這是一個非常奇怪的巧合，尤其是在你使用剛下載的全新載入項之後，以前從未要求你驗證密碼。也許…別那麼做(並刪除附加元件。）

或者根本不下載

我知道這麼說聽起來有點偏執，但我還是繼續說吧，不要用這些額外的技能、動作、附加功能，或者你想用你的聰明的演講者來稱呼它們的任何東西。這些永遠線上的裝置，或者至少是能夠記錄你所說的話的裝置，為你的隱私開闢了全新的方法，我仍然堅信，沒有任何附加的東西，甚至連一些搞笑的笑話技巧或驚人的占星術動作，都是值得冒險的。你的智慧揚聲器足夠智慧。除非你完全相信你所新增的東西，否則你不需要額外的麻煩（或焦慮）。