您现在的位置:首页 >> 农业机械厂家

AlexaSkills中的隐私问题和安全风险-(新闻)

2022-08-05 来源:甘肃农业机械网

Alexa Skills中的隐私问题和安全风险

使用语音命令“ Alexa Skills”,用户可以在其亚马逊语音助手上加载众多额外功能。

但是如波鸿大学(RUB)和北卡罗来纳州立大学的霍斯特·戈尔茨(HorstG?rtz)IT安全研究所的研究人员与前博士学位一起发现的,这些技能通常可能存在安全漏洞和数据保护问题。

在项目期间开始为Google工作的学生中国机械网okmao.com。他们将在2021年2月24日的网络和分布式系统安全研讨会(NDSS)会议上介绍其工作。

超过90,000项技能得到了分析

在他们的研究中,克里斯托弗·伦茨(Christopher Lentzsch)和马丁·德盖林(Martin Degeling)研究小组首次研究了Alexa Skills的生态系统。这些语音命令不仅由美国科技公司亚马逊本身开发,而且由外部提供商开发。用户可以直接在由Amazon经营的商店中下载它们,在某些情况下,它们也会被Amazon自动激活。

研究人员从七个国家/地区平台的商店中获取并分析了90,194项技能。他们发现安全使用存在重大缺陷。“第一个问题是,自2017年以来,亚马逊已自动部分激活了Skills。以前,用户必须同意每种技能的使用。

现在他们几乎不了解Alexa给出的答案来自何处以及最初是由谁编写的。” RUB系统安全主席Martin Degeling博士解释说。不幸的是,通常不清楚哪个技能在什么情况下被激活。

例如如果您要求Alexa称赞,您可以从31个不同的提供程序获得答复,但是尚不清楚立即自动选择哪个提供程序,可以无意地将命令的技术实现所需的数据转发给外部提供商。

以虚假身份发布新技能

“此外,我们能够证明可以以错误的身份发布技能。例如,著名的汽车公司为他们的智能系统提供了语音命令。用户下载这些内容是因为相信公司本身已经提供了这些技能。但是,并非总是如此。”马丁·德杰林(Martin Degeling)说。

尽管亚马逊会检查认证过程中提供的所有技能,但这种所谓的“技能抢注”(即采用已经存在的提供商名称和功能)通常并不引人注目。

“在一个实验中,我们能够以一家大公司的名义发布技能。在这里,可以利用来自用户的宝贵信息,”研究人员解释说。因此,例如,如果汽车供应商尚未为其汽车中的智能系统开发技能来调高或调低汽车中的音乐,那么攻击者将能够以该供应商的名义这样做。

Degeling说:“他们可以利用用户对知名名称和在Amazon中的信任来利用个人信息,例如位置数据或用户行为。” 但是,在此过程中,罪犯无法直接窃听加密数据或更改具有恶意意图的命令来操纵智能汽车,例如打开车门。

规避亚马逊的安全检查

研究人员还发现了另一种安全风险:“我们的研究还表明,提供者以后可能会更改技能,” RUB信息和技术管理主席Christopher Lentzsch解释说。此漏洞将Amazon先前的认证过程的安全性置于另一个角度。

Lentzsch说:“例如,攻击者可以在一段时间后重新编程他们的语音命令,以询问用户的信用卡数据。” Amazon的测试通常会捕获此类提示,并且不允许此类提示-之后更改程序的技巧可以绕过此控制。通过信任滥用的提供商名称和亚马逊,此技巧可能会欺骗许多用户。

数据保护声明不足

除了这些安全风险外,研究小组还确定了该技能的通用数据保护声明中还存在严重不足。

例如,只有24.2%的技能完全拥有所谓的隐私权政策,而在“孩子”和“健康与健身”等特别敏感的领域则更少。Degeling说:“特别是在这里,应该有很大的改进。”

亚马逊已经向研究团队确认了一些问题,并表示正在采取对策。

北京工作服订做

工服定制厂家

工作服订做

服装订制