VÝSTRAHA: Škodlivý Amazon Alexa Skills môže jednoducho obísť proces preverovania

Výskumníci odhalili medzery AmazonProces overovania zručností pre ekosystém hlasového asistenta Alexa, ktorý by mohol umožniť hercovi so zlými úmyslami zverejniť klamlivú zručnosť pod ľubovoľným menom vývojára a dokonca po schválení vykonať zmeny v koncovom kóde, aby oklamali používateľov, aby sa vzdali citlivých informácií.

Zistenia boli prezentované v stredu na konferencii Network and Distributed System Security Symposium (NDSS) skupinou akademikov z Ruhr-Universität Bochum a Severnej Karolíny State University, ktorí analyzovali 90 194 zručností dostupných v siedmich krajinách vrátane USA a Spojeného kráľovstva. , Austrália, Kanada, Nemecko, Japonsko a Francúzsko.

Amazon Alexa umožňuje vývojárom tretích strán vytvárať ďalšie funkcie pre zariadenia, ako sú inteligentné reproduktory Echo, konfiguráciou „zručností“, ktoré bežia na hlasovom asistentovi, čím používateľom uľahčuje iniciovanie konverzácie s touto zručnosťou a dokončenie konkrétnej úlohy.

Hlavným medzi zisteniami je obava, že používateľ môže aktivovať nesprávnu zručnosť, čo môže mať vážne následky, ak je spustená zručnosť navrhnutá so zákerným zámerom.

Úskalia vyplýva zo skutočnosti, že viaceré zručnosti môžu mať rovnakú vyvolávaciu frázu.

V skutočnosti je táto prax taká rozšírená, že ju vyšetrovanie odhalilo 9948 zručností, ktoré zdieľajú rovnaký vyvolávací názov s aspoň jednou ďalšou zručnosťou len v americkom obchode. Vo všetkých siedmich obchodoch so schopnosťami malo jedinečný názov vyvolávania iba 36 055 zručností.

Vzhľadom na to, že skutočné kritériá Amazon použitie na automatické aktivovanie špecifickej zručnosti medzi niekoľkými zručnosťami s rovnakými názvami vyvolania zostáva neznáme, výskumníci upozorňujú, že je možné aktivovať nesprávnu zručnosť a že protivníkovi môžu utiecť publikačné zručnosti s použitím známych názvov spoločností.

“To sa deje predovšetkým preto, že Amazon v súčasnosti nevyužíva žiadny automatizovaný prístup na odhaľovanie porušení pri používaní ochranných známok tretích strán a závisí od manuálneho preverovania, aby sa zachytili takéto zlomyseľné pokusy, ktoré sú náchylné na ľudskú chybu,“ vysvetlili vedci. „V dôsledku toho môžu byť používatelia vystavení phishingové útoky spustené útočníkom.“

Ešte horšie je, že útočník môže vykonať zmeny kódu po schválení zručnosti, aby prinútil používateľa odhaliť citlivé informácie, ako sú telefónne čísla a adresy, spustením nečinného zámeru.

Istým spôsobom je to analogické s technikou nazývanou verzovanie, ktorá sa používa na obídenie overovacích bránok. Verzia sa vzťahuje na odoslanie benígnej verzie aplikácie do obchodu s aplikáciami pre Android alebo iOS s cieľom vybudovať dôveru medzi používateľmi, len aby sa kódová základňa časom nahradila ďalšou škodlivou funkciou prostredníctvom aktualizácií neskôr.

Aby to vedci otestovali, vytvorili zručnosť plánovača výletov, ktorá používateľovi umožňuje vytvoriť itinerár výletu, ktorý bol následne po počiatočnom preverení upravený tak, aby „spýtal sa používateľa na jeho telefónne číslo, aby mohol priamo poslať SMS (SMS). itinerár cesty“, čím jednotlivca oklamú, aby prezradil svoje (alebo jej) osobné informácie.

Okrem toho štúdia zistila, že model povolení Amazon použitie na ochranu citlivých údajov Alexa je možné obísť. To znamená, že útočník môže priamo požadovať údaje (napr. telefónne čísla, Amazon Údaje o platbe atď.) od používateľa, ktoré sú pôvodne navrhnuté tak, aby ich uzatvorili oprávnenia API.

Myšlienka je taká, že kým zručnosti požadujúce citlivé údaje musia využívať oprávnenia API, nezabráni to nepoctivému vývojárovi, aby si tieto informácie vyžiadal priamo od používateľa.

Výskumníci uviedli, že identifikovali 358 takýchto zručností schopných požadovať informácie, ktoré by mali byť v ideálnom prípade zabezpečené pomocou API.

Napokon, pri analýze zásad ochrany osobných údajov v rôznych kategóriách sa zistilo, že iba 24.2% všetkých zručností poskytuje odkaz na zásady ochrany osobných údajov, a to okolo 23.3% takýchto zručností úplne nezverejňuje typy údajov spojené s požadovanými povoleniami.

Berúc to na vedomie Amazon nenariaďuje zásady ochrany osobných údajov pre zručnosti zamerané na deti mladšie ako 13 rokov, štúdia vyvolala obavy z nedostatku široko dostupných zásad ochrany osobných údajov v kategóriách „deti“ a „zdravie a kondícia“.

„Ako zástancovia ochrany osobných údajov sa domnievame, že zručnosti súvisiace s „deťom“ aj „zdravím“ by mali spĺňať vyššie štandardy, pokiaľ ide o súkromie údajov,“ uviedli vedci a zároveň vyzvali. Amazon na overenie vývojárov a vykonávanie opakovaných backendových kontrol na zmiernenie takýchto rizík.

„Zatiaľ čo takéto aplikácie uľahčujú interakciu používateľov s inteligentnými zariadeniami a podporujú množstvo doplnkových služieb, zároveň vyvolávajú obavy o bezpečnosť a súkromie kvôli osobnému nastaveniu, v ktorom fungujú,“ dodali.