在此之后,您为什么还要信任亚马逊的Alexa?

2021-03-01 04:38:49

只是前几天,我想知道在厨房里放个布谷鸟钟是否会很有趣。

但是我们所有人都有偏见,许多美国人感到非常高兴,无法让亚马逊的回声和点子散布在他们的房屋上,以使他们的生活更轻松。

但是,也许应该警告喜欢Alexa的人,事情可能不会像看起来那样令人愉快。

来自波鸿鲁尔大学(University of Bohrum)的有关学者的新研究,以及来自北卡罗来纳州立大学的同等关注的同事-甚至是在该项目期间加入Google的研究人员-可能只会使Alexa所有者对真正的产品感到疑惑轻松生活的意义。

研究人员研究了90,194个Alexa技能。他们发现的是一种安全的Emmenthal,可使老鼠想知道那里是否有奶酪。

Martin Degeling博士的这句话怎么样:"第一个问题是,自2017年以来,亚马逊已自动部分激活了技能。以前,用户必须同意使用每种技能。现在,他们几乎不了解Alexa给出的答案来自何处以及最初是由谁编写的。

因此,第一个问题是,每当您唤醒沉睡的Alexa时,您都不知道聪明的答案从何而来。或者,实际上,您的问题可能有多安全。

准备好再给研究人员报价了吗?您可以在此处进行操作:在技能库中发布一项技能时,它还会显示开发人员的姓名。我们发现,开发人员可以在亚马逊上创建其开发人员帐户时使用任何公司名称进行注册。这使攻击者可以轻松地冒充任何知名的制造商或服务提供商。

拜托,这是当大公司被黑客入侵时让我们发笑的一种东西,并且不要告诉我们几个月甚至几年的时间。

这些研究人员实际上为自己测试了该过程。 "在一个实验中,我们能够以一家大公司的名义发布技能。可以在此处利用来自用户的宝贵信息,"他们谦虚地说。

这个发现也很有帮助。是的,亚马逊有针对这些技能的认证流程。但是"对更改后端代码没有任何限制,后端代码可以在认证过程后随时更改。

从本质上讲,恶意开发人员可能会更改代码并开始将敏感的个人数据悬停。

研究人员说,然后就是开发人员以虚假身份发布的技能。

也许,尽管如此,这听起来太过戏剧化了。当然,所有这些技能都有控制他们可以做什么和不能做什么的隐私策略。

请坐下。根据研究结果:“只有24.2%的技能具有隐私权政策。”因此,不要四分之三的技能。

不过,请放心,更糟糕的是:对于某些类别的孩子,例如“孩子”和“健康与健身”分别只有13.6%和42.2%的技能具有隐私政策。作为隐私权的拥护者,我们都觉得“孩子”和“健康”相关技能应在数据隐私方面达到更高的标准。"

亚马逊发言人告诉我:"我们的设备和服务的安全性是重中之重。作为技能认证的一部分,我们进行安全审查,并拥有适当的系统来持续监控在线技能是否存在潜在的恶意行为。我们发现的任何令人反感的技能都会在认证过程中被阻止或迅速停用。我们正在不断改善这些机制,以进一步保护我们的客户。"

知道安全是当务之急。我希望让客户对尽可能多的Alexa技能感到满意,以便使Amazon可以收集尽可能多的数据,这可能是一个更高的优先级。

发言人还补充说:"我们感谢独立研究人员的工作,这些工作有助于将潜在的问题引起我们的注意。"

有些人可能将其翻译为:“请记住,他们是对的。但是您希望我们如何监控所有这些小技巧?我们太忙了,想做点大事。

当然,亚马逊认为其监控系统可以很好地识别出真正的不法之徒。不过,以某种方式期望开发人员遵守规则与确保遵守规则并不完全相同。

我还了解到,该公司认为,儿童技能通常不会附加到隐私权政策中,因为他们不会收集个人信息。

最终,像许多科技公司一样,亚马逊希望您监视并更改自己的权限,因为这对亚马逊而言非常划算。但是谁真正拥有那些监视技能?

上周四在网络和分布式系统安全性研讨会上发表的这项研究使这种坦率的残酷阅读成为了现实,至少有一个或两个Alexa用户可能会考虑他们在做什么。和谁在一起。

再说一次,大多数人真的在乎吗?在发生一些不愉快的事情之前,大多数用户只希望过上轻松的生活,在很容易自己关灯的情况下,通过与机器交谈来娱乐自己。

毕竟,这甚至不是研究人员第一次揭露Alexa技能的弱点。去年,学者试图上传234项突破性的Alexa技能。告诉我,有多少人获得了批准,Alexa?是的,所有人。

研究人员自己最新的技能联系了亚马逊,以提供某种“嘿,看看这个。”

他们说:“亚马逊已经向研究团队确认了一些问题,并表示正在采取对策。”