Masalah privasi dan risiko keamanan di Alexa Skills
Keamanan

Masalah privasi dan risiko keamanan di Alexa Skills


Bersama dengan kolega, Christopher Lentzsch telah menganalisis fungsi tambahan untuk asisten suara Amazon Alexa. Kredit: Ruhr-Universitaet-Bochum

Dengan perintah suara ‘Alexa Skills,’ pengguna dapat memuat banyak fungsi tambahan ke asisten suara Amazon mereka. Namun, Keterampilan ini seringkali memiliki celah keamanan dan masalah perlindungan data, seperti yang ditemukan oleh tim peneliti dari Institut Horst Görtz untuk Keamanan TI di Ruhr-Universität Bochum (RUB) dan Universitas Negeri Carolina Utara, bersama dengan mantan Ph.D. siswa yang mulai bekerja untuk Google selama proyek berlangsung. Mereka akan mempresentasikan pekerjaan mereka di konferensi Network and Distributed System Security Symposium (NDSS) pada 24 Februari 2021.

Lebih dari 90.000 Keterampilan dianalisis

Dalam studi mereka, kelompok peneliti Christopher Lentzsch dan Dr. Martin Degeling mempelajari ekosistem Alexa Skills untuk pertama kalinya. Perintah suara ini dikembangkan tidak hanya oleh perusahaan teknologi AS Amazon sendiri, tetapi juga oleh penyedia eksternal. Pengguna dapat mengunduhnya di toko yang dioperasikan oleh Amazon secara langsung, dan dalam beberapa kasus, mereka juga diaktifkan secara otomatis oleh Amazon.

Para peneliti memperoleh dan menganalisis 90.194 Keterampilan dari toko di tujuh platform negara. Mereka menemukan kekurangan yang signifikan untuk penggunaan yang aman. “Masalah pertama adalah Amazon telah mengaktifkan sebagian Keterampilan secara otomatis sejak 2017. Sebelumnya, pengguna harus menyetujui penggunaan setiap Keterampilan. Sekarang mereka hampir tidak memiliki gambaran umum tentang dari mana jawaban yang diberikan Alexa kepada mereka dan siapa yang memprogramnya di bagian pertama. tempat, “jelas Dr. Martin Degeling dari RUB Chair of System Security. Sayangnya, seringkali tidak jelas Skill mana yang diaktifkan pada jam berapa. Misalnya, jika Anda meminta pujian kepada Alexa, Anda bisa mendapatkan tanggapan dari 31 penyedia yang berbeda, tetapi tidak segera jelas mana yang dipilih secara otomatis. Data yang diperlukan untuk implementasi teknis dari perintah dapat secara tidak sengaja diteruskan ke penyedia eksternal.

Menerbitkan Keterampilan baru dengan identitas palsu

“Selain itu, kami dapat membuktikan bahwa Keterampilan dapat dipublikasikan dengan identitas palsu. Perusahaan otomotif terkenal, misalnya, menyediakan perintah suara untuk sistem cerdas mereka. Pengguna mengunduh ini dengan keyakinan bahwa perusahaan itu sendiri telah menyediakan Keterampilan ini. Tapi tidak selalu demikian, “kata Martin Degeling. Meskipun Amazon memeriksa semua Keterampilan yang ditawarkan dalam proses sertifikasi, yang disebut sebagai Skill squatting ini, yaitu adopsi nama dan fungsi penyedia yang sudah ada, seringkali tidak terlihat.

“Dalam sebuah percobaan, kami dapat menerbitkan Keterampilan atas nama perusahaan besar. Informasi berharga dari pengguna dapat disadap di sini,” jelas peneliti. Jadi, jika pemasok otomotif belum mengembangkan Keterampilan untuk sistem cerdasnya di dalam mobil untuk menghidupkan atau mematikan musik di dalam mobil, misalnya, penyerang dapat melakukannya dengan nama pemasok. “Mereka dapat mengeksploitasi kepercayaan pengguna pada nama terkenal dan di Amazon untuk memanfaatkan informasi pribadi seperti data lokasi atau perilaku pengguna,” kata Degeling. Penjahat, bagaimanapun, tidak dapat secara langsung menyadap data yang dienkripsi atau mengubah perintah dengan maksud jahat dalam proses ini untuk memanipulasi mobil pintar, misalnya untuk membuka pintu mobil.

Mengakali pemeriksaan keamanan Amazon

Para peneliti juga mengidentifikasi risiko keamanan lain: “Studi kami juga menunjukkan bahwa Keterampilan dapat diubah oleh penyedia setelahnya,” jelas Christopher Lentzsch dari Ketua Manajemen Informasi dan Teknologi RUB. Kerentanan ini menempatkan keamanan proses sertifikasi sebelumnya di pihak Amazon ke dalam perspektif lain. “Penyerang dapat memprogram ulang perintah suara mereka setelah beberapa saat untuk meminta data kartu kredit pengguna, misalnya,” kata Lentzsch. Pengujian Amazon biasanya menangkap permintaan seperti itu dan tidak mengizinkannya — trik untuk mengubah program setelahnya dapat melewati kontrol ini. Dengan mempercayai nama penyedia yang disalahgunakan dan Amazon, banyak pengguna dapat tertipu oleh trik ini.

Deklarasi perlindungan data tidak memadai

Selain risiko keamanan ini, tim peneliti juga mengidentifikasi kekurangan yang signifikan dalam deklarasi perlindungan data umum untuk Keterampilan. Misalnya, hanya 24,2 persen Keterampilan memiliki apa yang disebut Kebijakan Privasi, dan bahkan lebih sedikit lagi di area sensitif “Anak-anak” dan “Kesehatan dan Kebugaran”. “Terutama di sini, harus ada peningkatan yang kuat,” kata Degeling.

Amazon telah mengonfirmasi beberapa masalah kepada tim peneliti dan mengatakan sedang mengerjakan tindakan penanggulangan.


Bug Amazon Alexa mengekspos data suara


Informasi lebih lanjut:
Christopher Lentzsch, Sheel Jayesh Shah, Benjamin Andow, Martin Degeling, Anupam Das, William Enck: Hai Alexa, apakah keterampilan ini aman ?: Melihat lebih dekat ekosistem Alexa Skill, Network and Distributed System Security Symposium (NDSS), 2021: www.alexa-skill-analysis.org/#paper

Disediakan oleh Ruhr-Universitaet-Bochum

Kutipan: Masalah privasi dan risiko keamanan di Alexa Skills (2021, 24 Februari) diakses 24 Februari 2021 dari https://techxplore.com/news/2021-02-privacy-issues-alexa-skills.html

Dokumen ini memiliki hak cipta. Selain dari transaksi yang adil untuk tujuan studi atau penelitian pribadi, tidak ada bagian yang boleh direproduksi tanpa izin tertulis. Konten disediakan untuk tujuan informasi saja.


Halaman Ini Di Persembahkan Oleh : SGP Prize