語音助理本身是一種搜尋引擎，能夠幫助人們解決許多問題，用聲音搜尋資訊已經是日常必備功能，市面上已有很多產品如Alexa 或Google Assistant 語音控制功能的第三方智慧音響，愈來愈聰明的AI語音助理讓人們的生活變的更方便，市場研究機構eMarketer也預測，搭載AI語音助理的裝置，將從目前主流的手機與聲控喇叭，擴大到汽車、穿戴式裝置。

但是由於語音助理非常依賴網路，駭客也開始入侵這些設備，Check Point資安研究人員發現語音助理Amazon Alexa存在漏洞，可讓惡意人士操縱Alexa中的技能，或是存取使用者個人資料。資安研究人員提到，這個漏洞與Alexa網頁服務的幾個子網域有關，這些網域容易受到跨站腳本攻擊(XSS-即Cross Site Scripting)或是跨域請求攻擊(CSRF - Cross-site request forgery ) ，駭客從發送惡意連結給被害者開始，當被害者在Alexa網站上點擊了惡意連結，便會被重新導向track.amazon.com，駭客透過程式碼注入更改參數，使得伺服器端產生錯誤，接著駭客便可以發送帶有用戶Cookie的Ajax請求到amazon.com/app/secure/your-skills-page頁面中，獲取Alexa帳戶的資料，駭客還能夠存取聊天對話紀錄，因此能夠存取受害者與銀行技能互動的歷程，並取得使用者帳號以及電話，甚至可能還有家裡住址和更多其他資訊。

當然要解決此問題，必須在網站主機上有WAF設備保護才能根本解決，但在使用者無法確保網站是否能作到如此嚴密的資安防護之下，只能自己提高警覺，不在上面隨便透露個人資訊，銀行資訊等等，使用這些3C裝置也要隨時注意安全性更新，才不會輕易掉入駭客的陷阱。

詳文請見ithome 原文新聞稿