Amazon zawsze starał się promować swoje inteligentne głośniki z obsługą Alexa jako platformę, chwaląc się liczbą dostępnych „umiejętności” stron trzecich (ponad 100 000 według najnowszych danych). Z naszego doświadczenia wynika, że większość tych umiejętności to bezużyteczne sztuczki; jednostronne żarty, które instalujesz i o których zapominasz. Okazuje się jednak, że mogą również stanowić zagrożenie dla prywatności.
Pierwszy szeroko zakrojone badanie luk w prywatności w ekosystemie umiejętności Alexy przeprowadzili naukowcy ze stanu Karolina Północna i Ruhr-University Bochum w Niemczech. Odkryli szereg niepokojących problemów, szczególnie w procesach weryfikacji, których Amazon używa do sprawdzania integralności każdej umiejętności. Oto krótkie podsumowanie ich ustaleń:
- Aktywacja złej umiejętności. Od 2017 roku Alexa automatycznie włącza umiejętności, jeśli użytkownicy zadają właściwe pytanie (inaczej zwane „frazą wywołania”). Ale naukowcy odkryli, że tylko w sklepie w USA było 9948 umiejętności z duplikować frazy wywołania. Oznacza to, że jeśli poprosisz Alexę na przykład o „fakty kosmiczne”, automatycznie włączy jedną z wielu umiejętności, które używają tego wyrażenia. Sposób wyboru tej umiejętności jest kompletną tajemnicą, ale może prowadzić do tego, że użytkownicy aktywują niewłaściwe lub niechciane umiejętności.
- Umiejętności publikowania pod fałszywymi nazwiskami. Podczas instalowania umiejętności możesz sprawdzić nazwę programisty, aby upewnić się, że jest ona godna zaufania. Jednak naukowcy odkryli, że proces weryfikacji programistów w celu sprawdzenia, za kogo się uważają, nie jest zbyt bezpieczny. Potrafili publikować umiejętności pod nazwami dużych korporacji, takich jak Microsoft i Samsung. Atakujący mogli z łatwością publikować umiejętności udające, że pochodzą od renomowanych firm.
- Zmiana kodu po publikacji. Naukowcy odkryli, że po publikacji wydawcy mogą wprowadzać zmiany w kodzie zaplecza używanym przez umiejętności. Nie oznacza to, że mogą zmienić umiejętność na cokolwiek, ale mogą wykorzystać tę lukę, aby zamienić wątpliwe działania w umiejętności. Na przykład możesz opublikować umiejętność dla dzieci, która zostanie zweryfikowana przez zespół bezpieczeństwa Amazon, przed zmianą kodu zaplecza, aby prosić o poufne informacje.
- Luźna polityka prywatności. Polityka prywatności ma na celu informowanie użytkowników o tym, w jaki sposób ich dane są gromadzone i wykorzystywane, ale Amazon nie wymaga umiejętności posiadania towarzyszących zasad. Naukowcy odkryli, że tylko 28,5 procent umiejętności w USA ma ważną politykę prywatności, a liczba ta jest jeszcze niższa w przypadku umiejętności skierowanych do dzieci – zaledwie 13,6 procent.
Żadne z tych ustaleń nie jest dymiącym pistoletem dla jakiejkolwiek konkretnej umiejętności Alexy, która wysysa dane niewidoczne. Ale razem tworzą niepokojący obraz (nie) dbałości Amazon o kwestie prywatności. Mając to na uwadze, prawdopodobnie jest to równie dobry czas, jak zawsze, aby przyciąć umiejętności Alexa, które włączyłeś na swoich urządzeniach.
Możesz to zrobić za pomocą aplikacji Alexa lub, łatwiej, przez Internet. Po prostu idź do alexa.amazon.com, zaloguj się na swoje konto Amazon, kliknij „Umiejętności” na pasku bocznym, a następnie „Twoje umiejętności” w prawym górnym rogu i wyłącz wszystkie umiejętności, których nie używasz. Właśnie sprawdziłem swoje konto i stwierdziłem, że zainstalowałem ponad 30 z różnych testów na przestrzeni lat. To teraz zostało zredukowane do zdrowej trójki.
Możemy mieć tylko nadzieję, że w przyszłości Amazon poświęci temu obszarowi nieco więcej uwagi. W komentarzu dane do ZDNet, rzecznik firmy powiedział, że „bezpieczeństwo naszych urządzeń i usług jest najwyższym priorytetem” i że firma przeprowadza regularne przeglądy w celu identyfikacji i usunięcia złośliwych umiejętności. Być może niektóre z tych protokołów wymagają aktualizacji.