Alexa od Amazona ma wiele problemów z prywatnością
Ostatnie badanie donosi o szeregu problemów dotyczących prywatności. Są one związane z programami, z którymi użytkownicy wchodzą w interakcję podczas korzystania z asystenta głosowego Alexa. Problemy obejmują wprowadzające w błąd polityki prywatności, a także możliwość zmiany kodu ich programów przez strony trzecie po uzyskaniu zgody od Amazona.
Wiele aplikacji, z którymi użytkownicy Alexy wchodzą w interakcje, zostało stworzonych przez strony trzecie, z czego często nie zdają sobie sprawy jej użytkownicy. W oprogramowaniu odkryto kilka błędów w obecnym procesie weryfikacji, które mogą umożliwić twórcom tych aplikacji dostęp do danych osobowych lub prywatnych użytkowników.
Problemy dotyczą rozmaitych programów przeznaczonych Alexę. Jednym z problemów, które zauważyli badacze, było to, że sklep z oprogramowaniem wyświetla autora odpowiedzialnego za opublikowanie aplikacji, ale Amazon nie sprawdza, czy jego nazwa jest poprawna. Innymi słowy, programista może twierdzić, że jest kimkolwiek. W ten sposób, ewentualny nieuczciwy programista może łatwo zarejestrować się pod nazwą bardziej godnej zaufania organizacji. To z kolei może skłonić użytkowników do pobrania oprogramowania, nie mając świadomości, że w rzeczywistości kryje się pod nim, np. kod ułatwiający ataki phishingowe.
Ponadto badacze wykazali, że programiści mogą zmodyfikować oprogramowania już po umieszczeniu go w sklepie. Aby upewnić się co do swoich obaw, badacze opublikowali swoją aplikację, a następnie, po zatwierdzeniu jej przez Amazon, zmodyfikowali kod tak, aby zażądać dodatkowych informacji od użytkowników.
Na tym jednak nie koniec, bowiem naukowcy odkryli, że 23,3% z 1146 aplikacji, które wymagały dostępu do danych wrażliwych użytkownika, nie miało polityki prywatności albo była ona myląca lub niekompletna. Zdarzały się przypadki, w których oprogramowanie wymagało podania prywatnych informacji, pomimo jasnej informacji w polityce prywatności, że nie wymaga ona dostępu do tego rodzaju danych.
Badacze zachęcają Amazon do zweryfikowania tożsamości twórców oprogramowania i do korzystania ze wskazówek wizualnych lub dźwiękowych, aby poinformować użytkowników, kiedy używają umiejętności Alexy, które nie zostały opracowane przez jej producenta. Sam Amazon zaś, do tej pory, sprzedał co najmniej 100 milionów urządzeń.
Aktualizacja 8.03.2021
W związku z naszą publikacją, Biuro Prasowe firmy Amazon poprosiło nas o opublikowanie oficjalnego stanowiska firmy:
Bezpieczeństwo urządzeń i usług jest dla nas najwyższym priorytetem. Przeprowadzamy audyty bezpieczeństwa w ramach certyfikacji umiejętności Alexy (Alexa Skills) oraz posiadamy systemy do ciągłego ich monitorowania „na żywo” pod kątem potencjalnie niepożądanych zachowań. Wszelkie wykryte przez nas umiejętności Alexy (Alexa Skills) naruszające zasady są blokowane podczas certyfikacji lub szybko dezaktywowane. Stale ulepszamy te mechanizmy, aby jeszcze bardziej chronić naszych klientów. Doceniamy pracę niezależnych badaczy, którzy pomagają zwrócić naszą uwagę na potencjalne problemy.
