SRLabs的安全分析師，找到了一種利用Google和Amazon智能揚聲器進行網絡釣魚和竊聽用戶的新漏洞。之後其上傳了看似無害的Alexa Skills和Google Actions自定義操作技能，以測試該漏洞是否會輕易得逞。由視頻演示可知，一位SRLabs研究人員向Google Home索要了一個隨機數，由其產生並發出聲音。

（圖自：SRLabs，via TechSpot）

可即便Actions 已執行完成，程序仍保持後台監聽的狀態。之後，第三方計算機收到了用戶所述內容的抄錄。

至於Alexa，安全分析師也創建了一個簡單的“星座技巧”，要求Alexa 對其進行“幸運解讀”。

Alexa 會詢問用戶的十二星座，之後開始監聽相關的星座運勢讀數、同時麥克風一直在後台保持監聽。

即便被告知停止操作，Alexa 仍會繼續監聽房間內發出的聲音，並將其發送至接收端的軟件。

此外，研究人員還能夠讓講述人發出虛假的錯誤信息。比如在一分鐘後發出另一個偽造的錯誤，誘騙用戶自曝賬號密碼。

Smart Spies_ Amazon Alexa Eavesdropping（via）

事實上，SRLabs至始至終都在利用同一個漏洞。該缺陷使得他們能夠持續地向智能揚聲器提供無法言語的一系列字符（U+D801、點、空格）。

如此一來，即便設備保持著’靜音’的狀態，’算法’也能夠維持對用戶展開監聽的信道的暢通。

鑑於谷歌和亞馬遜不會對安裝在其智能揚聲器上的軟件技能展開仔細的檢查，惡意團體或輕易將間諜軟件添加到應用程序的補丁中，而無需另行通知。

週一的時候，SRLabs 安全分析師決定將漏洞公之於眾。但在此之前，其已經向兩家公司提出過警告。此外，SRLabs 向YouTube 上傳了一段視頻，以展示該漏洞對智能揚聲器用戶造成的安全隱患。

目前尚沒有任何證據表明除SRLabs 研究團隊意外的任何人在使用相關漏洞，不過亞馬遜已經實施了相應的對策來檢測和防止對Alexa 技能的濫用。

至於谷歌，該公司也表示更新了審查程序，以揪出這類行為，並移除任何有違操作準則的Actions 。