Mempelajari kepercayaan pada produk otonom
Consumer

Studi mengungkapkan tingkat kerentanan privasi dengan Amazon Alexa


Kredit: Domain Publik Unsplash / CC0

Sebuah studi baru-baru ini menguraikan berbagai masalah privasi yang terkait dengan program yang berinteraksi dengan pengguna saat menggunakan asisten yang diaktifkan suara Amazon, Alexa. Masalah berkisar dari kebijakan privasi yang menyesatkan hingga kemampuan pihak ketiga untuk mengubah kode program mereka setelah menerima persetujuan Amazon.

“Saat orang menggunakan Alexa untuk bermain game atau mencari informasi, mereka sering mengira mereka hanya berinteraksi dengan Amazon,” kata Anupam Das, salah satu penulis makalah dan asisten profesor ilmu komputer di North Carolina State University. “Tetapi banyak aplikasi yang berinteraksi dengan mereka dibuat oleh pihak ketiga, dan kami telah mengidentifikasi beberapa kekurangan dalam proses pemeriksaan saat ini yang memungkinkan pihak ketiga tersebut untuk mendapatkan akses ke informasi pribadi atau pribadi pengguna.”

Yang menjadi masalah adalah program yang berjalan di Alexa, memungkinkan pengguna untuk melakukan segalanya mulai dari mendengarkan musik hingga memesan bahan makanan. Program-program ini, yang kira-kira setara dengan aplikasi pada telepon pintar, disebut keterampilan. Amazon telah menjual setidaknya 100 juta perangkat Alexa (dan mungkin dua kali lipatnya), dan ada lebih dari 100.000 keterampilan yang dapat dipilih pengguna. Karena sebagian besar keterampilan ini dibuat oleh pengembang pihak ketiga, dan Alexa digunakan di rumah, peneliti ingin mempelajari lebih lanjut tentang potensi masalah keamanan dan privasi.

Dengan tujuan tersebut, para peneliti menggunakan program otomatis untuk mengumpulkan 90.194 keterampilan unik yang ditemukan di tujuh toko keterampilan yang berbeda. Tim peneliti juga mengembangkan proses peninjauan otomatis yang memberikan analisis mendetail dari setiap keterampilan.

Satu masalah yang dicatat oleh para peneliti adalah bahwa toko keterampilan menampilkan pengembang yang bertanggung jawab untuk menerbitkan keterampilan tersebut. Ini menjadi masalah karena Amazon tidak memverifikasi bahwa namanya benar. Dengan kata lain, pengembang dapat mengklaim sebagai siapa saja. Ini akan memudahkan penyerang untuk mendaftar dengan nama organisasi yang lebih dapat dipercaya. Itu, pada gilirannya, dapat menipu pengguna dengan berpikir bahwa keterampilan itu diterbitkan oleh organisasi yang dapat dipercaya, memfasilitasi serangan phishing.

Para peneliti juga menemukan bahwa Amazon memungkinkan banyak keterampilan untuk menggunakan frase doa yang sama.

“Ini bermasalah karena, jika Anda mengira Anda mengaktifkan satu keterampilan, tetapi sebenarnya mengaktifkan keterampilan lain, ini menimbulkan risiko bahwa Anda akan berbagi informasi dengan pengembang yang tidak ingin Anda bagikan informasi,” kata Das. “Misalnya, beberapa keterampilan memerlukan penautan ke akun pihak ketiga, seperti akun email, perbankan, atau media sosial. Ini dapat menimbulkan risiko privasi atau keamanan yang signifikan bagi pengguna.”

Selain itu, para peneliti menunjukkan bahwa pengembang dapat mengubah kode di bagian belakang keterampilan setelah keterampilan ditempatkan di toko. Secara khusus, para peneliti menerbitkan keterampilan dan kemudian memodifikasi kode untuk meminta informasi tambahan dari pengguna setelah keterampilan itu disetujui oleh Amazon.

“Kami tidak terlibat dalam perilaku jahat, tetapi demonstrasi kami menunjukkan bahwa tidak ada kontrol yang cukup untuk mencegah kerentanan ini disalahgunakan,” kata Das.

Amazon memang memiliki beberapa perlindungan privasi, termasuk persyaratan eksplisit yang terkait dengan delapan jenis data pribadi — termasuk data lokasi, nama lengkap, dan nomor telepon. Salah satu persyaratan tersebut adalah bahwa setiap keterampilan yang meminta data ini harus memiliki kebijakan privasi yang tersedia untuk umum yang menjelaskan mengapa keterampilan tersebut menginginkan data tersebut dan bagaimana keterampilan tersebut akan menggunakan data tersebut.

Tetapi para peneliti menemukan bahwa 23,3% dari 1.146 keterampilan yang meminta akses ke data sensitif privasi tidak memiliki kebijakan privasi atau kebijakan privasi mereka menyesatkan atau tidak lengkap. Misalnya, beberapa meminta informasi pribadi bahkan mengira kebijakan privasi mereka menyatakan bahwa mereka tidak meminta informasi pribadi.

Para peneliti juga menguraikan sejumlah rekomendasi tentang bagaimana membuat Alexa lebih aman dan memberdayakan pengguna untuk membuat keputusan yang lebih tepat tentang privasi mereka. Misalnya, para peneliti mendorong Amazon untuk memvalidasi identitas pengembang keterampilan dan menggunakan isyarat visual atau audio untuk memberi tahu pengguna saat mereka menggunakan keterampilan yang tidak dikembangkan oleh Amazon sendiri.

“Rilis ini tidak cukup panjang untuk membicarakan semua masalah atau semua rekomendasi yang kami uraikan di koran,” kata Das. “Ada banyak ruang untuk pekerjaan masa depan di bidang ini. Misalnya, kami tertarik dengan harapan pengguna dalam hal keamanan sistem dan privasi saat mereka berinteraksi dengan Alexa.”

Makalah, “Hai Alexa, apakah Skill ini Aman? Melihat Lebih Dekat Alexa Skill Ecosystem,” dipresentasikan pada Network and Distributed Systems Security Symposium 2021, yang diadakan pada 21-24 Februari.


Masalah privasi dan risiko keamanan di Alexa Skills


Informasi lebih lanjut:
Hai Alexa, apakah Keterampilan ini Aman ?: Melihat Lebih Dekat Ekosistem Keterampilan Alexa. Simposium Keamanan Sistem dan Jaringan Terdistribusi (NDSS) 2021. dx.doi.org/10.14722/ndss.2021.23111

Disediakan oleh North Carolina State University

Kutipan: Studi mengungkapkan tingkat kerentanan privasi dengan Amazon’s Alexa (2021, 4 Maret) diambil 4 Maret 2021 dari https://techxplore.com/news/2021-03-reveals-extent-privacy-vulnerabilities-amazon.html

Dokumen ini memiliki hak cipta. Selain dari transaksi yang adil untuk tujuan studi atau penelitian pribadi, tidak ada bagian yang boleh direproduksi tanpa izin tertulis. Konten tersebut disediakan untuk tujuan informasi saja.


Halaman Ini Di Persembahkan Oleh : HK Prize