Amazon luôn cố gắng phát triển loa thông minh hỗ trợ Alexa của mình như một nền tảng, tự hào về số lượng “kỹ năng” của bên thứ ba có sẵn (hơn 100.000 trong số liệu gần đây nhất). Theo kinh nghiệm của chúng tôi, phần lớn các kỹ năng này là mánh lới quảng cáo vô ích; một câu chuyện cười mà bạn cài đặt và quên đi. Nhưng hóa ra chúng cũng có thể gây ra mối đe dọa về quyền riêng tư.
Người đầu tiên nghiên cứu quy mô lớn về các lỗ hổng bảo mật trong hệ sinh thái kỹ năng của Alexa được thực hiện bởi các nhà nghiên cứu tại Bang North Carolina và Ruhr-University Bochum ở Đức. Họ phát hiện ra một số vấn đề đáng lo ngại, đặc biệt là trong quy trình kiểm tra mà Amazon sử dụng để kiểm tra tính toàn vẹn của từng kỹ năng. Dưới đây là tóm tắt nhanh về những phát hiện của họ:
- Kích hoạt sai kỹ năng. Kể từ năm 2017, Alexa sẽ tự động kích hoạt các kỹ năng nếu người dùng hỏi đúng câu hỏi (hay còn được gọi là “cụm từ mời gọi”). Nhưng các nhà nghiên cứu phát hiện ra rằng chỉ riêng trong cửa hàng ở Hoa Kỳ đã có 9.948 kỹ năng với bản sao các cụm từ mời gọi. Điều đó có nghĩa là nếu bạn hỏi Alexa về “sự thật về không gian”, chẳng hạn, nó sẽ tự động kích hoạt một trong nhiều kỹ năng sử dụng cụm từ này. Làm thế nào kỹ năng đó được chọn là một bí ẩn hoàn toàn, nhưng nó có thể dẫn đến việc người dùng kích hoạt các kỹ năng sai hoặc không mong muốn.
- Kỹ năng xuất bản dưới tên sai. Khi cài đặt một kỹ năng, bạn có thể kiểm tra tên của nhà phát triển để đảm bảo độ tin cậy của nó. Nhưng các nhà nghiên cứu phát hiện ra rằng quy trình kiểm tra của Amazon để kiểm tra các nhà phát triển có phải là những người mà họ nói rằng họ không an toàn cho lắm. Họ đã có thể công bố các kỹ năng dưới tên của các tập đoàn lớn như Microsoft và Samsung. Những kẻ tấn công có thể dễ dàng công bố các kỹ năng giả vờ là từ các công ty có uy tín.
- Thay đổi mã sau khi xuất bản. Các nhà nghiên cứu nhận thấy rằng các nhà xuất bản có thể thực hiện các thay đổi đối với mã phụ trợ được các kỹ năng sử dụng sau khi xuất bản. Điều này không có nghĩa là họ có thể thay đổi một kỹ năng để làm bất cứ điều gì, nhưng họ có thể sử dụng kẽ hở này để biến những hành động đáng ngờ thành kỹ năng. Vì vậy, ví dụ: bạn có thể xuất bản một kỹ năng cho trẻ em sẽ được xác minh bởi nhóm an toàn của Amazon, trước khi thay đổi mã phụ trợ để nó yêu cầu thông tin nhạy cảm.
- Chính sách bảo mật lỏng lẻo. Chính sách quyền riêng tư được cho là thông báo cho người dùng về cách dữ liệu của họ đang được thu thập và sử dụng, nhưng Amazon không yêu cầu các kỹ năng để có các chính sách đi kèm. Các nhà nghiên cứu phát hiện ra rằng chỉ 28,5% kỹ năng của Hoa Kỳ có chính sách quyền riêng tư hợp lệ và con số này thậm chí còn thấp hơn đối với các kỹ năng dành cho trẻ em – chỉ 13,6%.
Không có phát hiện nào trong số này là một khẩu súng hút thuốc cho bất kỳ kỹ năng Alexa cụ thể nào hút sạch dữ liệu không nhìn thấy. Nhưng cùng nhau, họ vẽ nên một bức tranh đáng lo ngại về sự chú ý của Amazon đối với các vấn đề quyền riêng tư. Với suy nghĩ đó, có lẽ đây là thời điểm tốt hơn bao giờ hết để cắt tỉa các kỹ năng Alexa mà bạn đã bật trên thiết bị của mình.
Bạn có thể làm điều đó thông qua ứng dụng Alexa hoặc dễ dàng hơn là thông qua web. Chỉ cần đi đến alexa.amazon.com, đăng nhập vào tài khoản Amazon của bạn, nhấp vào “Kỹ năng” trên thanh bên, sau đó nhấp vào “kỹ năng của bạn” ở góc trên bên phải và tắt bất kỳ kỹ năng nào bạn không sử dụng. Tôi vừa kiểm tra tài khoản của chính mình và thấy rằng tôi đã cài đặt hơn 30 tài khoản từ các thử nghiệm khác nhau trong nhiều năm. Bây giờ con số đó đã được cắt giảm xuống còn ba con khỏe mạnh.
Chúng tôi chỉ có thể hy vọng Amazon chú ý hơn một chút đến lĩnh vực này trong tương lai. Trong một bình luận đưa cho ZDNet, người phát ngôn của công ty cho biết “bảo mật của các thiết bị và dịch vụ của chúng tôi là ưu tiên hàng đầu” và công ty tiến hành đánh giá thường xuyên để xác định và loại bỏ các kỹ năng độc hại. Có lẽ một số giao thức cần cập nhật.
