Умелые, но не обязательно заслуживающие доверия?
Amazon
Только на днях я задумался, будет ли интересно иметь часы с кукушкой на кухне.
Часы с кукушкой на базе Amazon Alexa.
Я пришел к выводу, что эта идея была безумной, как и большинство вещей с поддержкой Alexa.
Но у всех есть свои предубеждения и многие американцы очень рады, что по домам разбросаны эхо и точки Amazon, чтобы облегчить им жизнь.
Почему, Алекса может даже купить вам вашу мумию, если вы захотите.
Тем не менее, возможно, любителей Алекса следует предупредить, что все может быть не таким восхитительным, как кажется.
Новое исследование заинтересованных ученых из Рурского университета в Бохуме в Германии вместе с не менее заинтересованными коллегами из штата Северная Каролина — и даже исследователем, который во время проекта , присоединился к Google — может просто заставить владельцев Alexa задуматься об истинном смысле легкой жизни.
Исследователи изучили 90 194 навыков Alexa. Они нашли охранный Эмменталь, который заставил бы мышку задуматься, а есть ли там вообще сыр.
Как сильно вы бы вздрогнули, о счастливый владелец Алекса?
Как насчет предложения доктора Мартина Дегелинга: «Первая проблема заключается в том, что Amazon частично автоматически активировал навыки с 2017 года. Раньше пользователи должны были соглашаться на использование каждого навыка. Теперь у них почти нет обзора о том, откуда им приходит ответ, который дает Алекса, и кто его запрограммировал в первую очередь ».
Итак, первая проблема заключается в том, что вы не знаете, откуда приходит ваш умный ответ всякий раз, когда вы выводите Алексу из ее сна. Или, действительно, насколько безопасным мог быть ваш вопрос.
Готовы к еще одной цитате исследователей? Вот и все: «Когда навык публикуется в магазине навыков, он также отображает имя разработчика. Мы обнаружили, что разработчики могут регистрироваться с любым названием компании при создании учетной записи разработчика в Amazon. Это упрощает злоумышленнику выдавать себя за другое лицо. любого известного производителя или поставщика услуг ».
Пожалуйста, это такие вещи, которые заставляют нас смеяться, когда взламывают большие компании — и не говорят нам месяцами или даже годами.
Эти исследователи фактически проверили процесс на себе. «В ходе эксперимента мы смогли опубликовать навыки от имени крупной компании. Здесь можно получить ценную информацию от пользователей», — скромно сказали они.
Этот вывод тоже был воодушевляющим. Да, у Amazon есть процесс сертификации этих навыков. Но «не налагается никаких ограничений на изменение внутреннего кода, который может измениться в любое время после процесса сертификации».
По сути, злоумышленник может изменить код и начать собирать конфиденциальные личные данные.
Безопасность? Да, это приоритет.
Затем, говорят исследователи, есть разработчики навыков, которые публикуются под вымышленными именами.
Хотя, возможно, все это звучит слишком драматично. Конечно, у всех этих навыков есть политика конфиденциальности, которая определяет, что они могут и что не могут делать.
Пожалуйста, сядьте. Из исследования: «Только 24,2% навыков имеют политику конфиденциальности». Так что три четверти навыков, ну, не надо.
Не волнуйтесь, есть и похуже: «Для определенных категорий, таких как« дети »и« здоровье и фитнес », только 13,6% и 42,2% У навыков есть политика конфиденциальности, соответственно. Как защитники конфиденциальности, мы считаем, что навыки, связанные с «детьми» и «здоровьем», должны соответствовать более высоким стандартам в отношении конфиденциальности данных ».
Естественно, я спросил Amazon, что это подумал об этих немного холодных открытиях.
Представитель Amazon сказал мне: «Безопасность наших устройств и сервисов является главным приоритетом. Мы проводим проверки безопасности в рамках сертификации навыков, и у нас есть системы для постоянного мониторинга реальных навыков на предмет потенциально злонамеренного поведения. Любое. выявляемые нами навыки, вызывающие нарушения, блокируются во время сертификации или быстро деактивируются. Мы постоянно совершенствуем эти механизмы для дальнейшей защиты наших клиентов ».
Приятно знать, что безопасность главный приоритет. Я хочу, чтобы клиенты были развлечены как можно большим количеством навыков Alexa, чтобы Amazon могла собрать как можно больше данных, что могло бы быть более приоритетным.
Тем не менее, представитель добавил: «Мы ценим работу независимых исследователи, которые помогают привлечь наше внимание к потенциальным проблемам ».
Некоторые могут перевести это так:« Черт возьми, они правы. Но как вы ожидаете, что мы будем контролировать все эти маленькие навыки? Мы слишком заняты мыслить масштабно. "
Привет, Алекса. Кто-нибудь действительно заботится?
Конечно, Amazon считает, что ее системы мониторинга хорошо работают для выявления истинных злоумышленников. Однако почему-то ожидать от разработчиков соблюдения правил — не то же самое, что их соблюдать.
Я также понимаю, что компания считает, что детские навыки часто не связаны с политикой конфиденциальности, потому что они не собирайте личную информацию.
На что один или два родителя могут пробормотать: «Ага?»
В конечном счете, как и многие другие технологические компании, Amazon предпочла бы, чтобы вы отслеживали — и изменяли — свои собственные разрешения , так как это было бы очень рентабельно для Amazon. Но у кого на самом деле есть эти навыки мониторинга?
Это исследование, представленное в прошлый четверг на симпозиуме по безопасности сетей и распределенных систем, является настолько откровенно жестоким чтением, что по крайней мере один или два пользователя Alexa могут подумать, кем они были. делает. И с кем.
Опять же, разве не все равно большинству? До тех пор, пока не произойдет какая-то неприятная случайность, большинство пользователей просто хотят иметь легкую жизнь, развлекая себя, разговаривая с машиной, когда они могут довольно легко выключить свет самостоятельно.
В конце концов, это даже не первое время, когда исследователи выявили уязвимости навыков Alexa. В прошлом году ученые попытались загрузить 234 навыка Alexa, нарушающих правила. Скажи мне, сколько человек было одобрено, Алекса? Да, все.
Исследователи новейших навыков сами связались с Amazon, чтобы предложить своего рода «Эй, посмотрите на это».
Они говорят: «Amazon подтвердила некоторые проблемы для исследовательской группы и заявляет, что работает над контрмерами ».
Интересно, какие навыки использует Amazon для этого.
