Eine kürzlich durchgeführte Studie beschreibt eine Reihe von Datenschutzaspekten in Bezug auf die Apps, mit denen Benutzer interagieren, wenn sie den Sprachassistenten von Amazon, Alexa, verwenden. Die Probleme reichen von irreführenden Datenschutzrichtlinien bis hin zur Möglichkeit Dritter, den Code ihrer Apps nach der Genehmigung durch Amazon zu ändern.
„Wenn Leute Alexa verwenden, um Spiele zu spielen oder nach Informationen zu suchen, denken sie oft, dass sie nur mit Amazon zu tun haben“, sagt Anupam Das, Co-Autor des Artikels und Assistenzprofessor für Informatik an der North Carolina State University. „Viele der Anwendungen, mit denen sie interagieren, wurden jedoch von Dritten erstellt, und wir haben im aktuellen Untersuchungsprozess mehrere Fehler festgestellt, die es Dritten ermöglichen, auf die persönlichen oder privaten Informationen der Benutzer zuzugreifen.“
Die Probleme sind die auf Alexa verwendeten Apps, mit denen Benutzer alles tun können, vom Musikhören bis zum Einkaufen. Diese Anwendungen, die in etwa den Anwendungen auf einem Smartphone entsprechen, werden als Fertigkeiten bezeichnet. Amazon verkauft mindestens 100 Millionen Alexa-Geräte (und möglicherweise doppelt so viel), und da ist mehr als 100.000 Fähigkeiten für Benutzer zur Auswahl. Da die meisten dieser Fähigkeiten von Drittentwicklern entwickelt werden und Alexa in Privathaushalten verwendet wird, wollten die Forscher mehr über potenzielle Sicherheit und Datenschutz erfahren.
Zu diesem Zweck verwendeten die Forscher ein automatisiertes Programm, um 90.194 einzigartige Fertigkeiten in sieben verschiedenen Fertigkeitengeschäften zu sammeln. Das Forschungsteam entwickelte außerdem einen automatisierten Überprüfungsprozess, der eine detaillierte Analyse jeder Fähigkeit bietet.
Ein Problem, das die Forscher bemerkten, war, dass die Skill Stores den Entwickler anzeigen, der für die Veröffentlichung der Skill verantwortlich ist. Dies ist ein Problem, da Amazon nicht überprüft, ob der Name korrekt ist. Mit anderen Worten, ein Entwickler kann behaupten, jeder zu sein. Dies würde es einem Angreifer erleichtern, sich unter dem Namen einer vertrauenswürdigeren Organisation zu registrieren. Dies kann wiederum dazu führen, dass Benutzer glauben, dass die Fertigkeit von der vertrauenswürdigen Organisation veröffentlicht wird, was Phishing-Angriffe ermöglicht.
Die Forscher fanden auch heraus, dass Amazon mehreren Fertigkeiten erlaubt, dieselbe Rufphrase zu verwenden.
„Dies ist problematisch, denn wenn Sie glauben, eine Fertigkeit zu aktivieren, aber eine andere zu aktivieren, besteht das Risiko, dass Sie Informationen an einen Entwickler weitergeben, mit dem Sie keine Informationen weitergeben wollten“, sagt Das. ‚Für einige Fähigkeiten ist beispielsweise ein Link zu einem Konto eines Drittanbieters erforderlich, z. B. zu einem E-Mail-, Bank- oder Social-Media-Konto. Dies kann ein erhebliches Datenschutz- oder Sicherheitsrisiko für Benutzer darstellen. ”
Darüber hinaus zeigten die Forscher, dass Entwickler den Code auf der Rückseite von Skills ändern können, nachdem die Skills in den Läden platziert wurden. Die Forscher veröffentlichten speziell eine Fertigkeit und änderten den Code, um zusätzliche Informationen von Benutzern anzufordern, nachdem die Fertigkeit von Amazon genehmigt wurde.
„Wir haben uns nicht auf böswilliges Verhalten eingelassen, aber unsere Demonstration zeigt, dass es nicht genügend Kontrollen gibt, um zu verhindern, dass diese Sicherheitsanfälligkeit missbraucht wird“, sagte Das.
Amazon verfügt über bestimmte Datenschutzbestimmungen, einschließlich expliziter Anforderungen in Bezug auf acht Arten personenbezogener Daten – einschließlich Standortdaten, vollständiger Namen und Telefonnummern. Eine der Anforderungen ist, dass Fähigkeiten, die diese Daten anfordern, eine Datenschutzrichtlinie haben, die offen legt und erklärt, warum die Fähigkeit diese Daten wünscht und wie die Fähigkeit die Daten verwendet.
Die Forscher stellten jedoch fest, dass 23,3% der 1.146 Fähigkeiten, die den Zugriff auf datenschutzrelevante Daten beantragten, keine Datenschutzrichtlinien hatten oder dass ihre Datenschutzrichtlinien irreführend oder unvollständig waren. Einige haben beispielsweise private Informationen angefordert, obwohl sie der Meinung sind, dass ihre Datenschutzrichtlinie besagt, dass sie keine privaten Informationen anfordern.
Die Forscher geben auch unterschiedliche Empfehlungen, wie Alexa sicherer gemacht und Benutzer in die Lage versetzt werden können, fundiertere Entscheidungen über ihre Privatsphäre zu treffen. Die Forscher ermutigen Amazon beispielsweise, die Identität von Skill-Entwicklern zu überprüfen und visuelle oder akustische Hinweise zu verwenden, um Benutzer darüber zu informieren, wenn sie Skills verwenden, die nicht von Amazon selbst entwickelt wurden.
„Diese Version ist nicht lang genug, um über alle Probleme oder Empfehlungen zu sprechen, die wir in dem Papier dargelegt haben“, sagt Das. „In diesem Bereich gibt es viel Raum für zukünftige Arbeiten. Zum Beispiel sind wir an den Erwartungen der Benutzer in Bezug auf Systemsicherheit und Datenschutz im Umgang mit Alexa interessiert. ”
Das Papier, „Hallo Alexa, ist diese Fähigkeit sicher?: Sehen Sie sich das Alexa-Fähigkeits-Ökosystem genauer an, ”Wurde auf dem Network and Distributed Systems Security Symposium 2021 vom 21. bis 24. Februar vorgestellt. Der Erstautor des Artikels ist Christopher Lentzsch von der Ruhr-Universität Bochum. Der Artikel wurde von Sheel Jayesh Shah, einem Doktoranden am NC State, mitverfasst. William Enck, außerordentlicher Professor am NC State; Martin Degeling an der Ruhr-Universität Bochum; und Benjamin Andow von Google Inc.
Die Arbeiten wurden mit Unterstützung des National Science Foundation (1849997) und des Bundeslandes Nordrhein-Westfalen durchgeführt.
Kapitän
Hinweis an die Redaktion: Die Zusammenfassung der Studie folgt.
„Hallo Alexa, ist diese Fertigkeit sicher?: Sehen Sie sich das Alexa-Fertigkeiten-Ökosystem genauer an.“
Autoren: Christopher Lentzsch und Martin Degeling, Ruhr-Universität Bochum; Sheel Jayesh Shah, Anupam Das und William Enck, North Carolina State University; und Benjamin Andow, Google Inc.
Angeboten: 21. bis 24. Februar, Sicherheitssymposium für Netzwerk- und verteilte Systeme 2021
DOI: 10.14722 / ndss.2021.23111
Zusammenfassung: Mit dem sprachbasierten Assistenten von Amazon, Alexa, können Benutzer über einen muttersprachlichen Dialog direkt mit verschiedenen Webdiensten kommunizieren. Es bietet Entwicklern die Möglichkeit, Anwendungen von Drittanbietern (sogenannte Skills) zu erstellen, die auf Alexa basieren. Solche Anwendungen erleichtern zwar die Interaktion von Benutzern mit intelligenten Geräten und verbessern eine Reihe zusätzlicher Dienste, sie verursachen jedoch aufgrund der persönlichen Umgebung, in der sie arbeiten, auch Sicherheit und Datenschutz. Dieser Artikel zielt darauf ab, eine systematische Analyse des Alexa-Kompetenz-Ökosystems durchzuführen. Wir führen die erste groß angelegte Analyse von Alexa-Fertigkeiten durch, die aus sieben verschiedenen Fertigkeitengeschäften mit insgesamt 90.194 einzigartigen Fertigkeiten stammen. Unsere Analyse zeigt verschiedene Einschränkungen, die im aktuellen Prozess der Kompetenzforschung bestehen. Wir zeigen, dass ein böswilliger Benutzer nicht nur eine Fähigkeit unter einem beliebigen Entwickler- / Firmennamen veröffentlichen kann, sondern auch den Backcode nach der Genehmigung ändern kann, um Benutzer dazu zu verleiten, unerwünschte Informationen preiszugeben. Anschließend formalisieren wir die verschiedenen Techniken zum Knacken von Fähigkeiten und bewerten die Wirksamkeit solcher Techniken. Wir stellen fest, dass bestimmte Ansätze zwar günstiger sind als andere, in der realen Welt jedoch kein wesentlicher Missbrauch von Fähigkeiten vorliegt. Schließlich untersuchen wir die Verbreitung von Datenschutzrichtlinien in verschiedenen Qualifikationskategorien und vor allem den Richtlinieninhalt von Skills, die das Alexa-Zustimmungsmodell für den Zugriff auf vertrauliche Benutzerdaten verwendet. Wir stellen fest, dass ungefähr 23,3% dieser Fähigkeiten die mit den erforderlichen Rechten verbundenen Datentypen nicht vollständig offenlegen. Wir schließen mit einigen Vorschlägen zur Stärkung des gesamten Ökosystems und damit zur Verbesserung der Transparenz für die Endnutzer.
+ There are no comments
Add yours