Alexa Skills представляют угрозу безопасности пользователей

Alexa Skills представляют угрозу безопасности пользователей

Исследователи выявили в механизмах безопасности Alexa ряд проблем.  

Группа ученых из США и Германии проанализировала реализованные в экосистеме голосового помощника Alexa от Amazon механизмы безопасности и признала их недостаточно эффективными.

В исследовании, представленном на этой неделе на конференции Network and Distributed System Security Symposium (NDSS), эксперты изучили уязвимости в процессе, который Amazon использует для проверки сторонних приложений Alexa, известных как Skills.

В ходе исследования Кристофер Лентцш (Christopher Lentzsch) и Мартин Дегелинг (Martin Degeling) из Рурского университета в Бохуме и Шил Джайеш Шах (Sheel Jayesh Shah), Бенджамин Эндоу (Benjamin Andow), Анупам Дас (Anupam Das) и Уильям Энк (William Enck) из Университета штата Северная Каролина проанализировали 90194 приложения Skills, доступные в семи странах, и выявили пробелы в безопасности, делающие возможными вредоносные действия.

В частности, исследователям удалось опубликовать Skills, используя названия хорошо известных компаний, что существенно облегчает атаки с использованием методов социальной инженерии (например, фишинговые атаки). Более того, после прохождения всех проверок ученые смогли без труда внести в свой код коррективы.

«Мы продемонстрировали, что злоумышленник может не только опубликовать Skills под любым произвольным названием разработчика/компании, но также внести изменения во внутренний код после утверждения с целью выманить у пользователей нежелательную информацию», - сообщили ученые в своей статье «Эй, Alexa, этот Skill безопасен?: Пристальный взгляд на экосистему Alexa Skills».

Отсутствие проверок изменений логики на сервере Skills позволяет злоумышленникам менять ответ Alexa на существующую триггерную фразу или активировать ранее одобренную неактивную триггерную фазу. Таким образом, Skills могут, например, начать запрашивать данные кредитных карт.

Исследователи также обнаружили способы обхода системы разрешений, используемой Amazon для защиты конфиденциальных данных Alexa. Проблема заключается в том, что даже если разработчик не заявляет о намерении использовать API для чувствительных данных (например, кредитных карт), это не мешает его Skills запрашивать или собирать такую информацию. В общей сложности ученые выявили 358 приложений Skills, способных запрашивать информацию, которая должна быть защищена с помощью permission API.

Как установили ученые, большой популярностью пользуется так называемый сквоттинг Skills, когда Skills пытаются заставить пользователей вызывать их непреднамеренно с помощью фраз и названий, похожих на настоящие фразы и названия для этих Skills.

И наконец, исследователи обнаружили, что только 24,2% Alexa Skills не раскрывают собранные данные полностью, а 23,3% не могут адекватно объяснить типы данных, связанные с запрашиваемыми разрешениями.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!