Alexa,Swap脱掉了亚马逊批准用于恶意软件的代码...安装的技能可以双重交叉用户

Boffins找到了Chatty Ai Assistant的开发应用程序可以绕过安全措施


基于德国和美国的计算机安全BODS分析了保护亚马逊Alexa语音助理生态系统的安全措施,并发现它们是希望的。

研究 周三在网络和分布式系统安全研讨会(NDSS)会议上提出,研究人员描述了过程中的缺陷亚马逊用于审查称为技能的第三方Alexa应用程序。

来自Ruhr-UniversitätBoochum的HorstGörtzIT安全研究所的Boffins - Christopher Lentzsch和Martin Degeling,Benjamin Andow(现在在Google),Anupam Das和William Enck,北卡罗来纳州立大学 - 分析了90,194七个国家提供的技能,发现允许恶意行动,滥用和数据使用情况披露不足的安全差距。

例如,研究人员能够使用知名公司的名称发布技能,这使得基于信任的攻击等像网络钓鱼更容易。在没有进一步审查的情况下,他们也能够修改代码。

我们表明,恶意用户不仅可以在任何任意开发者/公司名称下发布技能,但她也可以在批准后进行后端代码更改

“我们表明,恶意用户不仅可以在任何任意开发者/公司名称下发布技能,但她还可以在批准后进行后端代码更改,以宣传用户揭示不需要的信息,”学者在纸质中解释,标题为“嘿Alexa,这是安全的吗?:仔细看看Alexa技能生态系统。“ [PDF.]

通过无法检查技能服务器逻辑的更改,Amazon使恶意开发人员可以更改对现有触发短语的响应或激活先前批准的休眠触发阶段。以这种方式操纵的技能可以在通过亚马逊的初步审查后开始询问信用卡。

研究人员还发现,可以绕过亚马逊用于保护敏感Alexa数据的允许系统。问题是,因为开发人员不会声明意图以信用卡号类似于敏感数据类型使用API​​,这并不排除开发人员的技能要求或收集该信息。

“我们通过构建一个技能来测试这一点,该技能要求用户的电话号码(其中一个受保护的数据类型之一)而不调用客户电话号码权限API,”纸张解释说。 “即使我们使用了Amazon.phone的内置数据类型,对于意图,该技能未被标记为请求任何敏感属性。”

人们隐藏面对震惊的预期令人恐惧的东西。照片通过shutterock.

你知道愚蠢地担心alexa录制一切并在线泄漏它吗?就这样发生了

阅读更多

Boffins确定了358个技能,能够请求应由权限API保护的信息。

他们还发现技能蹲 - 例如试图让人们通过实施与合法技能的调用和意图名称类似的调用和意图名称而无意中调用他们的技能 - 很常见。

与此同时,他们观察到这不是恶意所做的,以他们的知识。相反,它似乎是开发人员对自己现有技能的普及的一种方式 - 具有几乎相同的短语激活的两个技能增加了他们的一些软件的可能性。

最后,研究人员发现,近四分之一(24.2%)的alexa技能没有完全披露他们收集的数据。由于监管机构预期的更高的隐私标准,他们争夺这种情况对于“儿童”和“健康和健身”类别的技能特别有问题。沿着类似的线路,他们说约23.3%的alexa技能隐私政策不会充分解释与所请求的权限相关的数据类型。

问题加起来

这些调查结果与另一张纸张的到来互动,从计算机科学家Yanyan Li,Sara Kim,Aric Sy在加州州立大学,圣马科斯。他们的工作,标题为“亚马逊Alexa攻击表面的调查,“更广泛地看着Alexa。

它不会出于以前未知的漏洞。相反,它提供了与语音捕获,语音交通传输,Alexa语音识别,Alexa技能调用,Lambda函数和Amazon S3桶相关的各种攻击向量的概述。它还提出了各种潜在的缓解,所有这些都需要亚马逊投资额外的时间和资源来锁定其生态系统。

来自德国和美国的研究人员表示,亚马逊已经证实了其一些发现并正在努力对策。

亚马逊无法完全带来承认,当被要求发表评论时,只承认它总是履行安全。一家公司发言人表示,该公司已了解Lentzsch及其同事的工作,仍在审查第二篇论文。

“我们的设备和服务的安全性是首要任务,”亚马逊的发言人在电子邮件中表示 企业技术新闻。 “我们作为技能认证的一部分进行安全审查,并有系统到位,以不断监控潜在恶意行为的现场技能。”

“我们识别的任何违规技能都被视为在认证期间或快速停用。我们不断改进这些机制,以进一步保护客户。我们感谢独立研究人员的工作,帮助您提出潜在的问题。” ®

类似主题


您可能喜欢的其他故事

咬住它的手©1998-2021