亚马逊Alexa有一些很好的技巧，监视用户！

安全研究人员为亚马逊广受欢迎的语音助手Alexa开发了一种新的恶意“技能”，可以将你的亚马逊Echo变成一个成熟的间谍设备。

Amazon Echo是一款可随时收听的语音激活智能家居扬声器，通过它，您可以使用自己的语音完成任务，比如播放音乐、设置闹钟和回答问题。

然而，该设备并不是一直处于激活状态，相反，它会一直休眠，直到用户说“Alexa”，默认情况下，它会在一段时间后结束会话。
亚马逊还允许开发者为Alexa开发定制的“技能”应用程序，Alexa是亚马逊Echo Show、Echo Dot和亚马逊Tap等数百万语音激活智能设备背后的大脑。

然而，网络安全公司Checkmarx的安全研究人员为Alexa创造了一种概念验证语音驱动的“技能”，该技能迫使设备无限期地录制环绕声，以秘密窃听用户的对话，然后还将完整的抄本发送到第三方网站。
伪装成一个解决数学问题的简单计算器，如果安装了恶意技能，当用户说“Alexa，打开计算器”后，该技能会立即在后台激活

研究人员在报告中说：“计算器技能已初始化，与该技能相关联的API\Lambda函数将接收一个启动请求作为输入”。

在一个视频演示中，研究人员显示，当用户使用计算器应用程序（在后台）打开会话时，它也会创建第二个会话，而无需口头指示用户麦克风仍处于活动状态。
根据设计，Alexa应该结束一个会话，或者要求用户发出另一个命令以保持会话打开。然而，黑客可能会允许攻击者保持第二个会话处于活动状态，以便监视用户，同时在用户交互结束时结束第一个会话。

幸运的是，如果你注意到回声设备上的蓝光被激活了更长时间，尤其是当你没有和它聊天时，你仍然可以当场发现间谍。

Checkmarx向亚马逊报告了这一问题，该公司已经通过定期扫描“无声提示或长时间监听”的恶意技能来解决这一问题，并将其踢出官方商店。

这不是研究人员演示的第一个Alexa hack。去年，MWR InfoSecurity的另一组研究人员展示了黑客如何将一些型号的Amazon Echo转化为隐蔽监听设备。