立即发布
最近的一项研究概述了一系列与用户使用亚马逊语音助手Alexa时交互的程序相关的隐私问题。问题包括误导性的隐私政策,以及第三方在获得亚马逊批准后更改程序代码的能力。
“当人们使用Alexa玩游戏或寻找信息时,他们通常认为自己只是在与亚马逊互动,”该论文的合著者、北卡罗来纳州立大学(North Carolina State University)计算机科学助理教授阿努帕姆·达斯(Anupam Das)说。“但他们与之交互的很多应用程序都是由第三方创建的,我们已经发现了当前审查过程中的几个漏洞,这些漏洞可能会让第三方获得用户的个人或私人信息。”
问题在于在Alexa上运行的程序,这些程序允许用户做从听音乐到订购食品杂货的一切事情。这些程序被称为技能,与智能手机上的应用程序大致相当。亚马逊已经销售了至少1亿台Alexa设备(和可能是它的两倍),有超过10万项技能供用户选择。因为这些技能大部分是由第三方开发人员创造的,而Alexa是在家庭中使用的,研究人员希望了解更多关于潜在的安全和隐私问题。
考虑到这一目标,研究人员使用一个自动化程序收集了7个不同技能商店中的90194种独特技能。研究团队还开发了一个自动审查流程,提供了对每种技能的详细分析。
研究人员注意到的一个问题是,技能商店会显示负责发布技能的开发人员。这是一个问题,因为Amazon没有验证名称是否正确。换句话说,开发者可以声称自己是任何人。这将使攻击者很容易在一个更值得信任的组织名下注册。这反过来又会让用户误以为这项技能是由值得信赖的组织发布的,从而为网络钓鱼攻击提供了便利。
研究人员还发现,亚马逊允许多种技能使用相同的调用短语。
Das说:“这是有问题的,因为如果你认为你在激活一种技能,但实际上在激活另一种技能,这就产生了风险,你会与开发人员分享你本不想分享的信息。”例如,有些技能需要链接到第三方账户,比如电子邮件、银行或社交媒体账户。这可能会给用户带来严重的隐私或安全风险。”
此外,研究人员还证明,在技能被放置到商店后,开发人员可以修改技能后端的代码。具体来说,研究人员公布了一项技能,然后在该技能获得亚马逊批准后修改代码,要求用户提供更多信息。
Das说:“我们没有参与恶意行为,但我们的演示表明,没有足够的控制措施来防止这种漏洞被滥用。”
亚马逊确实有一些隐私保护措施,包括明确要求八种类型的个人数据,包括位置数据、全名和电话号码。其中一个要求是,任何请求该数据的技能都必须有一个公开可用的隐私策略,解释该技能为什么需要该数据以及该技能将如何使用该数据。
但研究人员发现,在要求访问隐私敏感数据的1146项技能中,有23.3%要么没有隐私政策,要么他们的隐私政策具有误导性或不完整。例如,一些人要求私人信息,即使他们的隐私政策声明他们没有要求私人信息。
研究人员还概述了一系列建议,让Alexa更安全,让用户在隐私问题上做出更明智的决定。例如,研究人员鼓励亚马逊验证技能开发人员的身份,并使用视觉或音频提示让用户知道他们在使用不是亚马逊自己开发的技能。
Das说:“这篇文章不够长,不足以讨论我们在论文中概述的所有问题或所有建议。”“在这个领域,未来的工作还有很大的空间。例如,当用户与Alexa互动时,他们对系统安全和隐私的期望是什么,我们对此很感兴趣。”
纸”,嘿,Alexa,这个技能安全吗?:仔细观察Alexa技能生态系统在2月21日至24日举行的“2021年网络和分布式系统安全研讨会”上提出。这篇论文的第一作者是Ruhr-Universität波鸿的克里斯托弗·兰茨希。该论文由北卡罗莱纳州立大学研究生Sheel Jayesh Shah合著;北卡罗来纳州立大学副教授威廉·恩克(William Enck);Ruhr-Universität波鸿(Ruhr-Universität Bochum)的马丁•德吉林(Martin Degeling);谷歌公司的Benjamin Andow。
这项工作得到了美国国家科学基金会1849997号拨款和德国北莱茵-威斯特伐利亚州的支持。
希普曼-
编辑:研究摘要如下。
“嘿,Alexa,这个技能安全吗?”:仔细观察Alexa技能生态系统”
作者: Christopher Lentzsch和Martin Degeling, Ruhr-Universität Bochum;Sheel Jayesh Shah, Anupam Das和William Enck,北卡罗莱纳州立大学;谷歌公司的Benjamin Andow
提出了: 2月21-24日,2021年网络和分布式系统安全研讨会
DOI: 10.14722 / ndss.2021.23111
文摘:亚马逊的语音助手Alexa可以让用户通过自然语言对话直接与各种网络服务进行交互。它为开发人员提供了在Alexa上创建第三方应用程序(被称为Skills)的选项。虽然这些应用程序简化了用户与智能设备的交互,并支持了许多额外的服务,但由于它们所处的个人环境,它们也引发了安全性和隐私方面的担忧。本文旨在对Alexa技能生态系统进行系统分析。我们进行了第一次大规模的Alexa技能分析,从七个不同的技能商店总共90,194种独特的技能。我们的分析揭示了当前技能审查过程中存在的几个局限性。我们发现,恶意用户不仅可以以任意开发者/公司的名义发布技能,还可以在获得批准后修改后端代码,诱使用户泄露不需要的信息。接下来,我们对不同的蹲技术进行形式化描述,并评估这些技术的效果。我们发现,虽然某些方法比其他方法更有利,但在现实世界中并没有大量滥用技术蹲。最后,我们研究了不同技能类别的隐私策略的普遍性,更重要的是使用Alexa权限模型访问敏感用户数据的技能的策略内容。 We find that around 23.3% of such skills do not fully disclose the data types associated with the permissions requested. We conclude by providing some suggestions for strengthening the overall ecosystem, and thereby enhance transparency for end-users.
- 类别:
