Credit:Unsplash/CC0 Public Domain最近的一项研究概述了一系列隐私问题,这些问题与用户在使用亚马逊的语音激活助手Alexa时与之交互的程序有关。问题包括误导性隐私政策,以及第三方在获得亚马逊许可后更改其程序代码的能力。该论文的合著者、北卡罗来纳州立大学计算机科学助理教授阿努帕姆·达斯(Anupam Das)说:“当人们使用Alexa玩游戏或寻找信息时,他们通常认为自己只是在与亚马逊互动。“但他们正在接触的许多应用程序都是由第三方创建的,我们已经发现了当前审查过程中的几个缺陷,这些缺陷可能允许这些第三方访问用户的个人或私人信息。"
争论的焦点是在Alexa上运行的程序,它允许用户做任何事情,从听音乐到点餐。这些程序大致相当于智能手机上的应用程序,被称为技能。亚马逊已经销售了至少1亿台Alexa设备(可能是这个数字的两倍),还有超过10万种技能可供用户选择。因为这些技能大部分是由第三方开发人员创造的,而Alexa是在家庭中使用的,所以研究人员想了解更多关于潜在的安全和隐私问题。
考虑到这个目标,研究人员使用自动化程序收集了在七个不同技能商店中发现的90,194种独特技能。研究团队还开发了一个自动审查流程,提供了每项技能的详细分析。
研究人员注意到的一个问题是,技能商店显示负责发布技能的开发人员。这是一个问题,因为亚魔卓n没有验证名称是否正确。换句话说,开发者可以自称是任何人。这将使攻击者很容易以更值得信任的组织的名义注册。反过来,这可能会欺骗用户,让他们认为该技能是由值得信赖的组织发布的,从而助长了网络钓鱼攻击。
研究人员还发现,亚马逊允许多种技能使用同一个调用短语。
“这是有问题的,因为如果你认为你在激活一项技能,但实际上却在激活另一项技能,这就产生了风险,你将与一个你不打算与之共享信息的开发人员共享信息,”Das说。“例如,某些技能需要链接到第三方帐户,如电子邮件、银行或社交媒体帐户。这可能会给用户带来严重的隐私或安全风险。”
此外,研究人员证明,开发人员可以在技能被放入商店后更改技能后端的代码。具体来说,研究人员发布了一项技能,然后在该技能获得亚马逊批准后,修改代码以向用户请求额外信息。
“我们没有参与恶意行为,但我们的演示表明,没有足够的控制措施来防止此漏洞被滥用,”Das说。
亚马逊确实有一些隐私保护措施,包括与八种个人数据相关的明确要求——包括位置数据、全名和电话号码。其中一个要求是,任何请求这些数据的技能都必须有一个公开的隐私政策,解释技能为什么需要这些数据,以及技能将如何使用这些数据。
但研究人员发现,在要求访问隐私敏感数据的1146项技能中,23.3%的技能要么没有隐私政策,要么其隐私政策具有误导性或不完整。例如,一些请求私人信息的人甚至认为他们的隐私政策声明他们不请求私人信息。
研究人员还概述了一系列建议,如何让Alexa更安全,并让用户能够对自己的隐私做出更明智的决定。例如,研究人员鼓励亚马逊验证技能开发人员的身份,并使用视觉或音频提示让用户知道他们何时使用的技能不是亚马逊自己开发的。
“这个版本还不够长,不足以讨论我们在论文中概述的所有问题或所有建议,”Das说。“这一领域未来的工作还有很大的空间。例如,我们感兴趣的是当用户与Alexa交互时,他们在系统安全性和隐私方面的期望是什么。"
报纸上说,“嘿,阿列克谢,这个技能安全吗?在2月21日至24日举行的2021年网络和分布式系统安全研讨会上,展示了“深入了解Alexa技能生态系统”。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
