Berta Sándor
Adatvédelmi problémák és biztonsági kockázatok jellemzik az Alexát
A virtuális asszisztens továbbra is rendkívül sebezhető.
Biztonsági szakértők már tavaly egy éven át górcső alá vették az Alexa Skills Store szoftvervizsgálati eljárásait és 235 készségfunkciót, más néven hangalkalmazást tudtak bejuttatni a rendszerbe. Ráadásul mindezt különösebben nagy nehézségek nélkül tehették meg. A 235 programból 193 az első akadályokat simán vette és csak 41-et utasított vissza a rendszer, közülük 32-t az adatvédelmi előírások megsértése miatt. A második hullámban már az összes szoftvert sikerült elfogadtatni.
Most Christopher Lentzsch, a Bochumi Ruhr Egyetem Horst Görtz IT-biztonsági Intézetének munkatársa és az Észak-karolinai Állami Egyetem kutatói tanulmányozták az Alexa extra funkcióinak biztonságát. Ugyan a termékeket az Amazon is aláveti egy ellenőrzésnek, de a csalók ki tudják játszani a rendszert. Az alkalmazások gyakran biztonsági hibákat és adatvédelmi hiányosságokat rejtenek.
A német és az amerikai szakemberek most 90 194 funkciót vizsgáltak meg. Ezeket a szoftvereket bárki letöltheti az Amazon által üzemeltetett programboltból és az alkalmazásokat nem csupán a cég készíti, hanem számos külső fejlesztő is.
A kutatók egyike, Martin Degeling kiemelte, hogy bebizonyosodott, hogy a funkciók akár álnéven is megjelentethetők. Gyakran előfordul, hogy több hangalkalmazásnak ugyanaz a neve és ez nem tűnik fel az ellenőrzés során sem. Amennyiben a bűnözők egy nagyvállalat nevében jelentetnek meg egy funkciót, akkor így könnyedén hozzájuthatnak az azt használó személyek adataihoz.
Lentzsch hozzátette, hogy megállapították továbbá, hogy a hangalkalmazások utólag is megváltoztathatók. Így a támadók a beszédparancsaikat egy időn után úgy programozhatják át, hogy lekérdezi a felhasználók hitelkártya-adatait. Ezek a dolgok általában fel sem tűnnek az ellenőrzések során. Az utólagos módosítások miatt egy látszólag teljesen biztonságos program is manipulálható később.
További probléma, hogy az Amazon a funkciókat 2017 óta részben automatikusan aktiválja. Korábban az embereknek az egyes hangalkalmazások használatába bele kellett egyezniük. Most viszont már szinte egyáltalán nincs ráhatásuk a folyamatra. Ezenkívül általában gond van az egyes funkciók általános adatvédelmi nyilatkozataival is.
Az Amazon megerősítette, hogy bizonyos problémák valóban léteznek és hangsúlyozta, hogy már dolgozik e hiányosságok kijavításán.
Biztonsági szakértők már tavaly egy éven át górcső alá vették az Alexa Skills Store szoftvervizsgálati eljárásait és 235 készségfunkciót, más néven hangalkalmazást tudtak bejuttatni a rendszerbe. Ráadásul mindezt különösebben nagy nehézségek nélkül tehették meg. A 235 programból 193 az első akadályokat simán vette és csak 41-et utasított vissza a rendszer, közülük 32-t az adatvédelmi előírások megsértése miatt. A második hullámban már az összes szoftvert sikerült elfogadtatni.
Most Christopher Lentzsch, a Bochumi Ruhr Egyetem Horst Görtz IT-biztonsági Intézetének munkatársa és az Észak-karolinai Állami Egyetem kutatói tanulmányozták az Alexa extra funkcióinak biztonságát. Ugyan a termékeket az Amazon is aláveti egy ellenőrzésnek, de a csalók ki tudják játszani a rendszert. Az alkalmazások gyakran biztonsági hibákat és adatvédelmi hiányosságokat rejtenek.
A német és az amerikai szakemberek most 90 194 funkciót vizsgáltak meg. Ezeket a szoftvereket bárki letöltheti az Amazon által üzemeltetett programboltból és az alkalmazásokat nem csupán a cég készíti, hanem számos külső fejlesztő is.
A kutatók egyike, Martin Degeling kiemelte, hogy bebizonyosodott, hogy a funkciók akár álnéven is megjelentethetők. Gyakran előfordul, hogy több hangalkalmazásnak ugyanaz a neve és ez nem tűnik fel az ellenőrzés során sem. Amennyiben a bűnözők egy nagyvállalat nevében jelentetnek meg egy funkciót, akkor így könnyedén hozzájuthatnak az azt használó személyek adataihoz.
Lentzsch hozzátette, hogy megállapították továbbá, hogy a hangalkalmazások utólag is megváltoztathatók. Így a támadók a beszédparancsaikat egy időn után úgy programozhatják át, hogy lekérdezi a felhasználók hitelkártya-adatait. Ezek a dolgok általában fel sem tűnnek az ellenőrzések során. Az utólagos módosítások miatt egy látszólag teljesen biztonságos program is manipulálható később.
További probléma, hogy az Amazon a funkciókat 2017 óta részben automatikusan aktiválja. Korábban az embereknek az egyes hangalkalmazások használatába bele kellett egyezniük. Most viszont már szinte egyáltalán nincs ráhatásuk a folyamatra. Ezenkívül általában gond van az egyes funkciók általános adatvédelmi nyilatkozataival is.
Az Amazon megerősítette, hogy bizonyos problémák valóban léteznek és hangsúlyozta, hogy már dolgozik e hiányosságok kijavításán.