Engedély nélkül kibővíthető az Alexa

Kutatóknak sikerült nem engedélyezett alkalmazásokat becsempészniük a virtuális asszisztenshez tartozó szoftverboltba.

A szakemberek első nekifutásra 193 készségfunkciót - amelyeket az Amazon hangalkalmazásoknak hív - rejtettek el az Alexa Skills Store rendszerében. Érdekesség, hogy az érintett programok mindegyike megsértette az Amazon vonatkozó irányelveit. Voltak köztük gyermekeknek szóló termékek is, amelyek engedély nélkül gyűjtenek felhasználói adatokat vagy terjesztenek olyan információkat, amelyekhez a gyerekeknek nem lenne szabad hozzáférniük.

A biztonsági szakértők egy éven át vizsgálták az Alexa Skills Store alkalmazásvizsgálati eljárásait. Ebben az egy esztendőben 235 készségfunkciót tudtak bejuttatni a rendszerbe és mindezt különösebben nagy nehézségek nélkül tehették meg. A 235 szoftverből 193 az első akadályokat simán vette és csak 41-et utasított vissza a rendszer, közülük 32-t az adatvédelmi előírások megsértése miatt. A második hullámban már az összes programot sikerült elfogadtatni.

A vizsgálat célja az volt, hogy felhívják a társaság figyelmét az Alexa Skills Store rendszerében található sebezhetőségekre. Ugyan az óriáscég mindig ígéretet tett a hibák kijavítására, de azok a későbbi vizsgálatok esetében is jelen voltak. A legutolsó vizsgálatnál a kutatók olyan dolgokat rejtettek el az egyes alkalmazásokban, amelyek megsértették a piactér szabályait, de nem voltak károsak a felhasználók és a készülékeik számára. Így például adatokat gyűjtöttek vagy olyan kérdésekre vártak válaszokat, amelyek feltételét az Amazon kifejezetten tiltja. Az egyik szoftverben volt egy útmutató a tűzjelző lekapcsolásához, míg egy másik a kábítószerekkel kapcsolatos információkat tartalmazott. Egy elvileg földrajzzal kapcsolatos információkat tartalmazó program kéretlen reklámokat terjesztett, míg egy másik termék a gyermekektől a nevüket kérdezte.

A szakemberek úgy tapasztalták, hogy az alkalmazásokat ellenőrző alkalmazottak nem következetesen használták a vonatkozó szabályokat és a funkciókban elrejtett beszédparancsokat sem ellenőrizték megfelelően. Az eljárások kikerülésére elegendő például csak egy-egy parancsot némileg lassabban kimondani. Az Amazon munkatársai megelégedtek azzal, ha egy fejlesztő azt állította, hogy a szoftvere nem gyűjt adatokat és ezt az állítást nem vizsgálták meg. A biztonsági szakértők úgy vélték, hogy bizonyos esetekben a feladatot pontosabban és hatékonyabban végeznék el az automatizált rendszerek. Továbbá az is kiderült, hogy bizonyos ellenőrzéseket nem az Amerikai Egyesült Államokban megszokott munkaidőben végezték el, vagyis minden bizonnyal nem angol anyanyelvű személyek voltak, illetve aligha érthettek az amerikai joghoz. A becsempészett programokat a kutatók a vizsgálat végén eltávolították az Alexa Skills Store rendszeréből.

Az Amazon szóvivője visszautasította az eljárást és közölte, hogy az ügyfelek bizalma a legfontosabb a számukra és nagyon komolyan veszik az Alexa hangalkalmazásokkal kapcsolatos irányelveket. Emellett van egy szoftverellenőrző rendszerük, amely azt nézi, hogy az adott termék veszélyesen viselkedik-e és megsérti-e az előírásokat. A szakemberek egyúttal rámutattak, hogy a Google Assistant Store esetében sem tökéletes a helyzet, annak ellenére sem, hogy a korábbi jelzéseik után történtek előrelépések. Ezért azokat a sebezhetőségeket a jövőben az eddiginél szigorúbban kell górcső alá venni.