Ecco perché è importante controllare le tue abilità di Amazon Alexa (e come farlo)
Una nuova ricerca mostra potenziali vulnerabilità della privacy nelle competenze di Alexa


Amazon ha sempre cercato di spingere i suoi altoparlanti intelligenti abilitati per Alexa come piattaforma, vantando il numero di “competenze” di terze parti disponibili (più di 100.000 nel conteggio più recente). Nella nostra esperienza, la maggior parte di queste abilità sono espedienti inutili; battute di una sola nota che installi e di cui ti dimentichi. Ma si scopre che potrebbero anche rappresentare una minaccia per la privacy.

Il primo studio su larga scala delle vulnerabilità della privacy nell’ecosistema delle competenze di Alexa è stato condotto da ricercatori del North Carolina State e della Ruhr-University Bochum in Germania. Hanno riscontrato una serie di problemi preoccupanti, in particolare nei processi di verifica che Amazon utilizza per verificare l’integrità di ciascuna competenza. Ecco un breve riassunto dei loro risultati:

Attivare l’abilità sbagliata . Dal 2017, Alexa abiliterà automaticamente le abilità se gli utenti fanno la domanda giusta (altrimenti nota come “frase di invocazione”). Ma i ricercatori hanno scoperto che nel solo negozio degli Stati Uniti c’erano 9.948 abilità con frasi di invocazione duplicate . Ciò significa che se chiedi ad Alexa “fatti spaziali”, ad esempio, abiliterà automaticamente una delle numerose abilità che utilizzano questa frase. Il modo in cui viene scelta tale abilità è un mistero completo, ma potrebbe portare gli utenti ad attivare abilità sbagliate o indesiderate.
Capacità di pubblicazione sotto falsi nomi . Quando installi un’abilità potresti controllare il nome dello sviluppatore per assicurarne l’affidabilità. Ma i ricercatori hanno scoperto che il processo di valutazione di Amazon per verificare che gli sviluppatori siano chi dicono di essere non è molto sicuro. Sono stati in grado di pubblicare competenze sotto i nomi di grandi società come Microsoft e Samsung. Gli aggressori potrebbero facilmente pubblicare abilità che fingono di provenire da aziende rispettabili.
Modifica del codice dopo la pubblicazione . I ricercatori hanno scoperto che gli editori possono apportare modifiche al codice back-end utilizzato dalle competenze dopo la pubblicazione. Ciò non significa che possono cambiare un’abilità per fare qualsiasi cosa, ma potrebbero usare questa scappatoia per trasformare azioni dubbie in abilità. Quindi, ad esempio, potresti pubblicare un’abilità per bambini che verrebbe verificata dal team di sicurezza di Amazon, prima di modificare il codice di backend in modo che richieda informazioni sensibili.
Lax informativa sulla privacy . Le politiche sulla privacy dovrebbero informare gli utenti su come i loro dati vengono raccolti e utilizzati, ma Amazon non richiede competenze per avere politiche di accompagnamento. I ricercatori hanno scoperto che solo il 28,5% delle competenze statunitensi ha politiche sulla privacy valide e questa cifra è ancora più bassa per le competenze rivolte ai bambini: solo il 13,6%.
Nessuno di questi risultati è una pistola fumante per una particolare abilità di Alexa che sottrarre dati senza essere visti. Ma insieme, dipingono un quadro preoccupante della (in) attenzione di Amazon ai problemi di privacy. Con questo in mente, è probabilmente il momento migliore che mai per potare le abilità di Alexa che hai abilitato sui tuoi dispositivi.

Puoi farlo tramite l’app Alexa o, più facilmente, tramite il web. Vai su alexa.amazon.com , accedi al tuo account Amazon, fai clic su “Abilità” nella barra laterale, quindi “le tue abilità” nell’angolo in alto a destra e disabilita tutte le abilità che non stai utilizzando. Ho appena controllato il mio account e ho scoperto di averne installato più di 30 da vari test nel corso degli anni. Ora è stato ridotto a tre sani.

Possiamo solo sperare che Amazon presti un po ‘più di attenzione a quest’area in futuro. In un commento fornito a ZDNet , un portavoce dell’azienda ha affermato che “la sicurezza dei nostri dispositivi e servizi è una priorità assoluta” e che l’azienda conduce revisioni periodiche per identificare e rimuovere abilità dannose. Forse alcuni di questi protocolli devono essere aggiornati.

Di ihal