Categories: Sicherheit

Forscher schmuggeln unerlaubte Skills in den Alexa Skills Store

Forscher haben sich ein Jahr lang mit dem Prüfprozess von Amazons Alexa Skills Store beschäftigt. In der Zeit gelang es ihnen, 234 Skills in den offiziellen Marktplatz einzustellen, die gegen dessen Richtlinien verstoßen – und zwar ohne größere Schwierigkeiten.

„Überraschenderweise konnten wir 193 Skills mit der ersten Einreichung zertifizieren“, teilten die Forscher mit. 41 Skills seien zurückgewiesen worden, davon 32 wegen Verstößen gegen die Datenschutzbestimmungen. Bei einem zweiten Versuchen seien dann auch die restlichen Skills angenommen worden.

Ziel der Studie – und vergleichbarer Untersuchungen anderer Forschungsteams – war es, Amazon auf Schwachstellen bei der Prüfung von Alexa Skills aufmerksam zu machen. Das Unternehmen habe jeweils zugesagt, die Fehler abzustellen, und jeweils habe eine neue Studie gezeigt, dass es unabhängig von Amazons Zusagen weiterhin möglich sein, schädliche Skills einzuschleusen.

Für die neue Studie arbeiteten die Forscher Verstöße gegen grundlegende Regeln des Marktplatzes in die Skills ein. Die Skills waren nicht direkt schädlich für Nutzer. Oftmals sammelten sie unerlaubt Daten oder lieferten Antworten auf Fragen, die Amazon verbietet.

Unter anderem schleusten die Forscher auf Skills in den Kinderbereich des Skills Store ein. Darunter war ein Skill, der eine Anleitung zum Abschalten eines Feuermelders lieferte. Ein anderer lieferte Informationen über Drogen. Ein anderer Skill, der eigentlich Informationen über Geografie bereitstellen sollte, verteilte indes unerwünschte Werbung. Die Forscher entwickelten außerdem einen Skill, der Kinder nach ihren Namen fragte.

Die Gründe für das Scheitern der Kontrollen waren die Forschern zufolge vielfältig. So wurden beispielsweise mehrere Skills mit denselben Verstößen eingereicht; einige schafften es in den Store, andere nicht. Die Forscher zogen daraus den Schluss, dass Amazon-Mitarbeiter die Richtlinien unterschiedlich anwenden.

Auch würden die im Code eines Skills eingetragenen Sprachbefehle unzureichend kontrolliert. Es sei anscheinend ausreichend, Sprachausgaben zeitlich leicht zu verzögern, um den Prüfprozess auszuhebeln. Auch verließen sich die Prüfer häufig zu sehr auf Angaben, die Entwickler in Formularen einreichten. Die Behauptung, ein Skill sammele keine Nutzerdaten, sei von Amazon nicht konsequent geprüft worden.

Fehler sollen sich aber auch durch den Einsatz von Mitarbeiter ergeben. Die Forscher gehen davon aus, dass bestimmte Verstöße genauer von automatisierten Systemen erkannt würden. Zeitmarken sollen zudem die Vermutung nahe legen, dass einige Skills außerhalb der üblichen Arbeitszeiten in den USA geprüft wurden, wovon die Forscher ableiten, dass möglicherweise Mitarbeiter beteiligt waren, deren Muttersprache nicht Englischt ist oder die US-Recht nicht vertraut waren.

Ihre unerlaubten Skills entfernten die Forscher nach Abschluss ihrer Untersuchung. Darüber hinaus beschäftigten sie sich mit 2085 negativen Kritiken zu 825 Skills im Kinderbereich. Darunter waren 52 Skills, die gegen Amazons Nutzungsbedingungen verstießen, weil sie beispielsweise Nutzerdaten sammelten oder zu positiven Bewertungen aufforderten.

Amazon wies die Vorwürfe der Forscher zurück. Die Forscher hätten zusätzliche Prozesse, die bei der Prüfung von Skills für Kinder angewendet würden, nicht berücksichtigt, darunter eine weitere Prüfung nach der Zertifizierung. „Das Vertrauen unserer Kunden hat oberste Priorität und wir nehmen die Richtlinien für die Alexa Skills sehr ernst“, sagte ein Amazon-Sprecher. Es gebe zudem Kontrollsysteme für eine dauerhafte Überwachung aktiver Skills auf möglicherweise gefährliches Verhalten und Richtlinienverstöße. Man begrüße die Arbeit von Forschern, die Amazon auf mögliche Probleme aufmerksam mache.

Dieselben Tests führten die Forscher auch für den Google Assistant Store aus. „Auch wenn Google beim Zertifizierungsverfahren auf der Grundlage unserer vorläufigen Messungen bessere Arbeit leistet, ist es immer noch nicht perfekt und weist potenziell ausnutzbare Mängel auf, die in Zukunft stärker geprüft werden müssen“, erklärten die Forscher.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago