警告：恶意的亚马逊Alexa技能可以轻松绕过审查过程

研究人员发现，亚马逊在Alexa voice assistant生态系统的技能审查过程中存在漏洞，这可能会允许恶意参与者以任意开发人员的名义发布欺骗性技能，甚至在获得批准后更改后端代码，诱骗用户放弃敏感信息。

波鸿大学（Ruhr Universität Bochum）和北卡罗来纳州立大学（North Carolina State University）的一组学者于周三在网络和分布式系统安全研讨会（NDSS）上介绍了研究结果，他们分析了美国、英国、澳大利亚、加拿大、德国、日本和法国等七个国家的90194项可用技能。

Amazon Alexa允许第三方开发人员通过配置在语音助手上运行的“技能”，为Echo智能扬声器等设备创建附加功能，从而让用户能够轻松使用该技能启动对话并完成特定任务。

这些发现中的主要问题是，用户可能会激活错误的技能，如果触发的技能是出于阴险的意图而设计的，则可能会产生严重后果。

这个陷阱源于一个事实，即多个技能可以有相同的调用短语。

事实上，这种做法非常普遍，调查发现仅在美国商店就有9948种技能与至少一种其他技能拥有相同的调用名称。在所有七个技能商店中，只有36055个技能有唯一的调用名称。

鉴于亚马逊在使用相同调用名称的多个技能中自动启用特定技能的实际标准尚不清楚，研究人员警告称，可能会激活错误的技能，而对手可以使用知名公司名称发布技能。

研究人员解释说：“这主要是因为亚马逊目前没有采用任何自动方法来检测使用第三方商标的侵权行为，而是依靠人工审查来捕获此类容易出现人为错误的恶意企图。”。“因此，用户可能会受到攻击者发起的网络钓鱼攻击。”

更糟糕的是，攻击者可以在技能获得批准后更改代码，通过触发休眠意图诱使用户泄露电话号码和地址等敏感信息。

在某种程度上，这类似于一种称为版本控制的技术，用于绕过验证防御。版本控制指的是向Android或iOS应用商店提交一个应用的良性版本，以建立用户之间的信任，只是随着时间的推移，通过稍后的更新，用额外的恶意功能替换代码库。

为了验证这一点，研究人员建立了一种旅行计划技能，允许用户创建一个旅行行程，在最初的审查后，该行程随后被调整为“询问用户的电话号码，以便该技能可以直接向其发送短信（SMS）旅行行程”，从而欺骗该个人披露其个人信息。

此外，该研究还发现，亚马逊用来保护敏感Alexa数据的许可模式可以绕过。这意味着攻击者可以直接从用户处请求数据（例如电话号码、亚马逊支付详细信息等），这些数据最初设计为由权限API封锁。

其想法是，虽然请求敏感数据的技能必须调用权限API，但这并不能阻止流氓开发人员直接向用户请求该信息。

研究人员说，他们发现了358种这样的技能，它们能够请求最好由API保护的信息。

最后，在对不同类别的隐私政策进行分析时，发现只有24.2%的技能提供了隐私政策链接，约23.3%的技能没有完全披露与请求的权限相关的数据类型。

该研究指出，亚马逊没有强制要求针对13岁以下儿童的技能制定隐私政策，因此对“儿童”和“健康和健身”类别中缺乏广泛可用的隐私政策表示担忧。

“作为隐私倡导者，我们认为在数据隐私方面，‘儿童’和‘健康’相关技能都应该达到更高的标准，”研究人员说，同时敦促亚马逊验证开发人员，并定期进行后端检查，以降低此类风险。

他们补充说：“虽然这类应用程序简化了用户与智能设备的交互，并支持了一些额外的服务，但由于用户的个人设置，它们也会引发安全和隐私问题。”。