اكتشف الباحثون فجوات في عملية فحص مهارات Amazon لنظام Alexa Voice المساعد الذي يمكن أن يسمح للممثل الضار بنشر مهارة خادعة تحت أي اسم مطور تعسفي وحتى إجراء تغييرات في رمز الواجهة الخلفية بعد الموافقة على خداع المستخدمين للتخلي عن معلومات حساسة.
تم تقديم النتائج يوم الأربعاء في الشبكة وندوة أمن النظام (NDSS) الموزعة من قبل مجموعة من الأكاديميين من Ruhr-Universität Bochum وجامعة ولاية كارولينا الشمالية ، الذين قاموا بتحليل 90،194 مهارة متوفرة في سبع دول ، بما في ذلك الولايات المتحدة ، والمملكة المتحدة ، وأستراليا ، وألمانيا ، واليابان ، وفرنسا.
تتيح Amazon Alexa لمطوري الطرف الثالث إنشاء وظائف إضافية لأجهزة مثل Echo Smart Speakers من خلال تكوين “المهارات” التي تعمل فوق مساعد الصوت ، مما يجعل من السهل على المستخدمين بدء محادثة مع المهارة وإكمال مهمة محددة.
من بين النتائج التي أُعتبر من بين النتائج القلق أن يقوم المستخدم بتنشيط مهارة خاطئة ، والتي يمكن أن يكون لها عواقب وخيمة إذا تم تصميم المهارة التي يتم تشغيلها بقصد غدرا.
ينبع المآزق من حقيقة أن مهارات متعددة يمكن أن يكون لها نفس عبارة الاحتجاج.
في الواقع ، هذه الممارسة سائدة لدرجة أن التحقيق قد رصد 9،948 مهارات تشترك في نفس اسم الاحتجاج مع مهارة واحدة على الأقل في المتجر الأمريكي وحده. في جميع متاجر المهارات السبعة ، كان 36،055 مهارات فقط اسم استدعاء فريد.
بالنظر إلى أن المعايير الفعلية التي تستخدمها Amazon لتنفيذ مهارة محددة بين العديد من المهارات التي تحمل نفس أسماء الاحتجاج ، حذر الباحثون من أنه من الممكن تنشيط المهارة الخاطئة وأن الخصم يمكن أن يفلت من مهارات النشر باستخدام أسماء الشركات المعروفة.
“يحدث هذا في المقام الأول لأن Amazon حاليًا لا تستخدم أي منهج آلي للكشف عن الانتهاكات لاستخدام العلامات التجارية الطرف الثالث ، ويعتمد على التدقيق اليدوي للقبض على مثل هذه المحاولات الخبيثة المعرضة للخطأ البشري”. أوضح. “ونتيجة لذلك ، قد يتعرض المستخدمون لهجمات التصيد التي أطلقها المهاجم.”
والأسوأ من ذلك ، يمكن للمهاجم إجراء تغييرات في التعليمات البرمجية بعد موافقة المهارة على إقناع المستخدم بالكشف عن معلومات حساسة مثل أرقام الهواتف والعناوين من خلال إطلاق نية نائمة.
بطريقة ما ، يشبه هذا تقنية تسمى الإصدار والتي تستخدم لتجاوز دفاعات التحقق. يشير الإصدار إلى إرسال نسخة حميدة من التطبيق إلى متجر تطبيقات Android أو iOS لبناء الثقة بين المستخدمين ، فقط لاستبدال قاعدة الشفرة بمرور الوقت بوظائف ضارة إضافية من خلال التحديثات في وقت لاحق.
لاختبار ذلك ، قام الباحثون ببناء مهارة مخطط الرحلات التي تسمح للمستخدم بإنشاء خط سير الرحلة الذي تم تعديله لاحقًا بعد التدقيق الأولي “للاستعلام عن المستخدم عن رقم هاتفه حتى تتمكن المهارة من إرسال رسالة نصية مباشرة (SMS) إلى مسار الرحلة” ، وبالتالي خداع الفرد للكشف عن معلوماته الشخصية (أو لها).
علاوة على ذلك ، وجدت الدراسة أن نموذج الإذن تستخدم Amazon لحماية بيانات Alexa الحساسة. هذا يعني أنه يمكن للمهاجم طلب البيانات مباشرة (على سبيل المثال ، أرقام الهواتف ، وتفاصيل دفع Amazon ، وما إلى ذلك) من المستخدم المصمم في الأصل ليتم تطويقه بواسطة واجهات برمجة تطبيقات الإذن.
الفكرة هي أنه بينما المهارات طلب بيانات حساسة يجب استدعاء واجهات برمجة تطبيقات الإذن ، فإنه لا يمنع مطور Rogue من طلب تلك المعلومات مباشرة من المستخدم.
وقال الباحثون إنهم حددوا 358 مهارات قادرة على طلب المعلومات التي يجب تأمينها بشكل مثالي من قبل واجهة برمجة التطبيقات.
أخيرًا ، في تحليل لسياسات الخصوصية عبر فئات مختلفة ، وجد أن 24.2 ٪ فقط من جميع المهارات توفر رابطًا لسياسة الخصوصية ، وأن حوالي 23.3 ٪ من هذه المهارات لا يكشفون تمامًا عن أنواع البيانات المرتبطة بالأذونات المطلوبة.
مع ملاحظة أن أمازون لا تفرض سياسة خصوصية للمهارات التي تستهدف الأطفال دون سن 13 عامًا ، أثارت الدراسة مخاوف بشأن عدم وجود سياسات الخصوصية المتاحة على نطاق واسع في “الأطفال” و “الصحة واللياقة البدنية”.
وقال الباحثون: “بصفتنا دعاة الخصوصية ، نشعر بأننا” طفل “ومهارات” الصحة “ذات الصلة يجب أن يتم الاحتفاظ بها وفقًا لمعايير أعلى فيما يتعلق بخصوصية البيانات” ، وقال الباحثون ، بينما يحثون Amazon على التحقق من صحة المطورين وإجراء عمليات فحص الخلفية المتكررة للتخفيف من هذه المخاطر.
وأضافوا “في حين أن هذه التطبيقات تخفف من تفاعل المستخدمين مع الأجهزة الذكية وتعزيز عدد من الخدمات الإضافية ، فإنها تثير أيضًا مخاوف تتعلق بالأمان والخصوصية بسبب الإعداد الشخصي الذي يعملون فيه”.
