智能辅助设备存在一些隐私失误的情况，但是对于大多数人来说，它们通常被认为足够安全。但是，对Amazon Alexa平台中的漏洞的新研究强调了考虑智能助手存储的关于您的个人数据的重要性，并尽可能地将其最小化。

安全公司Check Point在周四发布的调查结果显示，Alexa的Web服务存在一些漏洞，黑客可能会利用这些漏洞来捕获目标的整个语音历史记录，这意味着他们记录的与Alexa的音频交互。亚马逊已经修补了这些漏洞，但是该漏洞还可能产生个人资料信息，包括家庭住址以及用户为Alexa添加的所有“技能”或应用程序。在最初的攻击之后，攻击者甚至可能删除了现有技能并安装了恶意软件，以获取更多数据。

Check Point产品漏洞研究负责人Oded Vanunu说：“虚拟助手是您可以与之交谈和回答的东西，通常您通常不会想到某种恶意方案或担忧。” “但是我们在Alexa的基础结构配置中发现了一系列漏洞，最终使恶意攻击者能够收集有关用户的信息，甚至安装新技能。”

为了使攻击者能够利用这些漏洞，他们首先需要诱骗目标以单击恶意链接，这是常见的攻击情形。但是，某些Amazon和Alexa子域中存在潜在的漏洞，这意味着攻击者可能制作了真实的，外观正常的Amazon链接，以诱使受害者进入Amazon基础设施的裸露部分。通过策略性地引导用户访问track.amazon.com(一个与Alexa不相关但用于跟踪Amazon软件包的漏洞页面)，攻击者可能已经注入了允许其转到Alexa基础结构的代码，并发送了特殊请求以及目标的cookie从软件包跟踪页面到Skillstore.amazon.com/app/secure/your-skills-page。

此时，平台会将攻击者误认为是合法用户，然后黑客可以访问受害者的完整音频历史记录，已安装技能的列表以及其他帐户详细信息。攻击者还可以卸载用户设置的技能，如果黑客在Alexa Skills Store中植入了恶意技能，甚至可以在受害者的Alexa帐户上安装该交叉应用程序。

Check Point和Amazon都指出，对Amazon商店中的所有技能都进行了筛选和监控，以检查是否存在潜在的有害行为，因此，攻击者首先可以在其中植入恶意技能并不是一个定局。Check Point还暗示，黑客可能能够通过攻击来访问银行数据历史记录，但亚马逊对此表示怀疑，称该信息已在Alexa的回复中删除。

亚马逊发言人在一份声明中对《连线》杂志说：“我们将设备的安全放在首位，我们感谢Check Point等独立研究人员的工作，这些工作给我们带来了潜在的问题。” “在引起我们注意后，我们已修复了此问题，并且我们将继续加强我们的系统。我们不知道有任何情况会利用此漏洞来攻击我们的客户或暴露任何客户信息。”

Check Point的Vanunu说，他和他的同事发现的攻击是细微的，并且鉴于公司平台的规模，亚马逊没有自己抓住它也就不足为奇了。但是这些发现为用户思考他们存储在各种Web帐户中的数据并尽可能减少这些数据提供了宝贵的提示。

不是“好吧，快进来!”

瓦努努说：“这绝对不是开门的情况，'好吧，快进来!'” “这是一次棘手的攻击，但是我们很高兴亚马逊认真对待它，因为那里有2亿个Alexa设备可能带来的后果很严重。”

尽管您无法控制Amazon一项遥不可及的Web服务是否存在错误，但是您可以最小化Alexa帐户中的数据。在回避了有关将人工转录器用于某些Alexa用户的音频片段的朦胧实践之后，Amazon使得删除音频历史记录变得更加容易。定期执行此操作很重要，因为否则Amazon将无限期地存储这些记录。

要查看和删除您的Alexa历史记录，请在手机上打开Alexa应用程序，然后转到“设置”>“历史记录”。在此视图中，您只能一个一个地删除条目。要整体删除，请转到亚马逊网站上的Alexa隐私设置，然后选择查看语音历史记录。您也可以口头删除，说“ Alexa，删除我刚才说的内容”或“ Alexa，删除我今天说的所有内容”。