最近的一项研究概述了与用户在使用Amazon的声控助手Alexa时与之交互的程序有关的一系列隐私问题。问题范围从误导性的隐私政策到第三方在获得亚马逊批准后更改其程序代码的能力。

该论文的合著者，北卡罗来纳州立大学计算机科学助理教授阿努帕姆·达斯说：“当人们使用Alexa玩游戏或寻找信息时，他们常常认为他们只是在与亚马逊互动。” “但是，他们与之交互的许多应用程序都是由第三方创建的，我们已经发现了当前审核过程中的一些缺陷，这些缺陷可能使这些第三方能够访问用户的个人或私人信息。”

问题在于运行在Alexa上的程序，该程序允许用户执行从听音乐到订购杂货的所有操作。这些程序大致相当于智能手机上的应用程序，称为技能。亚马逊已经售出了至少1亿个Alexa设备（可能是这个数量的两倍），并且有超过100,000种技能供用户选择。

由于这些技能中的大多数是由第三方开发人员创建的，而Alexa用于房屋，因此研究人员希望了解有关潜在安全性和隐私问题的更多信息。

考虑到这一目标，研究人员使用自动化程序收集了在七个不同技能库中发现的90,194个独特技能。研究团队还开发了自动审查流程，可对每种技能进行详细分析。

研究人员注意到的一个问题是，技能库显示负责发布该技能的开发人员。这是一个问题，因为Amazon不会验证名称是否正确。换句话说，开发人员可以声称自己是任何人。这将使攻击者更容易以更值得信任的组织的名义进行注册。反过来，这可能使用户误以为该技术是由可信赖的组织发布的，从而助长了网络钓鱼攻击。

研究人员还发现，亚马逊允许多种技能使用相同的调用短语。

达斯说：“这是有问题的，因为如果您认为自己正在激活一项技能，而实际上是在激活另一项技能，则可能会冒与不希望与之共享信息的开发人员共享信息的风险。” “例如，某些技能需要链接到第三方帐户，例如电子邮件，银行或社交媒体帐户。这可能给用户带来很大的隐私或安全风险。”

此外，研究人员证明，开发人员可以在将技能放置在商店中后在其后端更改代码。具体来说，研究人员发布了一项技能，然后修改了该代码，以在该技能获得亚马逊批准后向用户请求其他信息。

达斯说：“我们没有进行恶意行为，但是我们的演示表明，没有足够的控制措施来防止滥用此漏洞。”

亚马逊确实有一些隐私保护措施，包括与八种类型的个人数据（包括位置数据，全名和电话号码）有关的明确要求。这些要求之一是，要求该数据的任何技能都必须具有公开可用的隐私策略，以说明该技能为何需要该数据以及该技能将如何使用该数据。

但是研究人员发现，在要求访问对隐私敏感的数据的1,146项技能中，有23.3％要么没有隐私政策，要么其隐私政策具有误导性或不完整性。例如，一些要求提供私人信息的人甚至认为他们的隐私权政策表明他们没有要求提供私人信息。

研究人员还概述了有关如何提高Alexa的安全性和使用户能够做出关于其隐私的更明智决定的建议。例如，研究人员鼓励亚马逊验证技能开发人员的身份，并使用视觉或听觉提示让用户知道何时他们使用的不是亚马逊本身开发的技能。

达斯说：“这个版本还不够长，无法讨论我们在本文中概述的所有问题或所有建议。” “该领域的未来工作还有很大的空间。例如，我们对用户与Alexa交互时系统安全性和隐私方面的期望感兴趣。”

在2月21日至24日举行的2021年网络和分布式系统安全研讨会上，发表了论文“嘿，Alexa，这是安全的吗？请仔细看一下Alexa的技能生态系统”。