Các nhà nghiên cứu đã phát hiện ra những lỗ hổng trong quy trình kiểm tra kỹ năng của Amazon đối với hệ sinh thái trợ lý giọng nói Alexa có thể cho phép kẻ độc hại xuất bản kỹ năng lừa đảo dưới bất kỳ tên nhà phát triển tùy ý nào và thậm chí thực hiện các thay đổi mã phụ trợ sau khi được chấp thuận để lừa người dùng cung cấp thông tin nhạy cảm.
Các phát hiện được trình bày hôm thứ Tư tại hội nghị chuyên đề Bảo mật Hệ thống Phân tán và Mạng (NDSS) bởi một nhóm các học giả từ Ruhr-Universität Bochum và Đại học Bang North Carolina, những người đã phân tích 90.194 kỹ năng có sẵn ở bảy quốc gia, bao gồm Mỹ, Anh. , Úc, Canada, Đức, Nhật Bản và Pháp.
Amazon Alexa cho phép các nhà phát triển bên thứ ba tạo chức năng bổ sung cho các thiết bị như loa thông minh Echo bằng cách định cấu hình “kỹ năng” chạy trên trợ lý giọng nói, do đó giúp người dùng dễ dàng bắt đầu cuộc trò chuyện với kỹ năng và hoàn thành một nhiệm vụ cụ thể. .
Điều quan trọng nhất trong số các phát hiện là lo ngại rằng người dùng có thể kích hoạt một kỹ năng sai, điều này có thể gây ra hậu quả nghiêm trọng nếu kỹ năng được kích hoạt được thiết kế với mục đích quỷ quyệt.
Cạm bẫy bắt nguồn từ thực tế là nhiều kỹ năng có thể có cùng một cụm từ gọi.
Thật vậy, thực tế phổ biến đến mức cuộc điều tra đã phát hiện ra 9.948 kỹ năng có cùng tên gọi với ít nhất một kỹ năng khác chỉ riêng trong cửa hàng ở Hoa Kỳ. Trên tất cả bảy cửa hàng kỹ năng, chỉ có 36.055 kỹ năng có tên gọi duy nhất.
Do các tiêu chí thực tế mà Amazon sử dụng để tự động kích hoạt một kỹ năng cụ thể trong số một số kỹ năng có cùng tên gọi vẫn chưa được biết, các nhà nghiên cứu cảnh báo rằng có thể kích hoạt sai kỹ năng và đối thủ có thể bỏ qua các kỹ năng xuất bản bằng cách sử dụng công ty nổi tiếng những cái tên.
“Điều này chủ yếu xảy ra vì Amazon hiện không sử dụng bất kỳ phương pháp tiếp cận tự động nào để phát hiện các hành vi vi phạm đối với việc sử dụng nhãn hiệu của bên thứ ba và phụ thuộc vào việc kiểm tra thủ công để bắt những nỗ lực ác ý dễ do lỗi của con người”, các nhà nghiên cứu giải thích. “Do đó, người dùng có thể tiếp xúc với các cuộc tấn công lừa đảo do kẻ tấn công thực hiện.”
Tệ hơn nữa, kẻ tấn công có thể thực hiện các thay đổi mã sau khi kỹ năng được chấp thuận để dụ người dùng tiết lộ thông tin nhạy cảm như số điện thoại và địa chỉ bằng cách kích hoạt ý định không hoạt động.
Theo một cách nào đó, điều này tương tự như một kỹ thuật được gọi là lập phiên bản được sử dụng để vượt qua các biện pháp bảo vệ xác minh. Tạo phiên bản đề cập đến việc gửi một phiên bản lành tính của ứng dụng tới cửa hàng ứng dụng Android hoặc iOS để xây dựng lòng tin giữa người dùng, chỉ để thay thế cơ sở mã theo thời gian bằng chức năng độc hại bổ sung thông qua các bản cập nhật vào một ngày sau đó.
Để kiểm tra điều này, các nhà nghiên cứu đã xây dựng một kỹ năng lập kế hoạch chuyến đi cho phép người dùng tạo một hành trình chuyến đi sau đó được điều chỉnh sau khi kiểm tra ban đầu để “hỏi người dùng về số điện thoại của họ để kỹ năng này có thể nhắn tin trực tiếp (SMS) hành trình chuyến đi “, do đó lừa dối cá nhân tiết lộ thông tin cá nhân của mình (hoặc cô ấy).
Hơn nữa, nghiên cứu cho thấy rằng mô hình quyền Amazon sử dụng để bảo vệ dữ liệu Alexa nhạy cảm có thể bị phá vỡ. Điều này có nghĩa là kẻ tấn công có thể trực tiếp yêu cầu dữ liệu (ví dụ: số điện thoại, chi tiết Amazon Pay, v.v.) từ người dùng mà ban đầu được thiết kế để được ràng buộc bởi các API cấp phép.
Ý tưởng là trong khi các kỹ năng yêu cầu dữ liệu nhạy cảm phải gọi các API cho phép, nó không ngăn một nhà phát triển giả mạo yêu cầu thông tin đó trực tiếp từ người dùng.
Các nhà nghiên cứu cho biết họ đã xác định được 358 kỹ năng như vậy có khả năng yêu cầu thông tin cần được bảo mật một cách lý tưởng bởi API.
Cuối cùng, trong một phân tích về chính sách quyền riêng tư trên các danh mục khác nhau, người ta thấy rằng chỉ 24,2% tất cả các kỹ năng cung cấp liên kết chính sách bảo mật và khoảng 23,3% kỹ năng đó không tiết lộ đầy đủ các loại dữ liệu liên quan đến các quyền được yêu cầu.
Lưu ý rằng Amazon không bắt buộc chính sách bảo mật đối với các kỹ năng nhắm mục tiêu đến trẻ em dưới 13 tuổi, nghiên cứu đã nêu lên lo ngại về việc thiếu các chính sách quyền riêng tư được phổ biến rộng rãi trong danh mục “trẻ em” và “sức khỏe và thể chất”.
Các nhà nghiên cứu cho biết: “Vì những người ủng hộ quyền riêng tư, chúng tôi cảm thấy cả kỹ năng liên quan đến ‘trẻ em’ và ‘sức khỏe’ cần được tuân thủ theo các tiêu chuẩn cao hơn về quyền riêng tư dữ liệu”, đồng thời thúc giục Amazon xác nhận các nhà phát triển và thực hiện kiểm tra phụ trợ định kỳ để giảm thiểu rủi ro như vậy.
Họ nói thêm: “Mặc dù các ứng dụng như vậy dễ dàng tương tác của người dùng với các thiết bị thông minh và tăng cường một số dịch vụ bổ sung, nhưng chúng cũng gây ra những lo ngại về bảo mật và quyền riêng tư do cài đặt cá nhân mà họ hoạt động.
