Forscher haben sich ein Jahr lang mit dem Prüfprozess von Amazons Alexa Skills Store beschäftigt. In der Zeit gelang es ihnen, 234 Skills in den offiziellen Marktplatz einzustellen, die gegen dessen Richtlinien verstoßen – und zwar ohne größere Schwierigkeiten.
Ziel der Studie – und vergleichbarer Untersuchungen anderer Forschungsteams – war es, Amazon auf Schwachstellen bei der Prüfung von Alexa Skills aufmerksam zu machen. Das Unternehmen habe jeweils zugesagt, die Fehler abzustellen, und jeweils habe eine neue Studie gezeigt, dass es unabhängig von Amazons Zusagen weiterhin möglich sein, schädliche Skills einzuschleusen.
Für die neue Studie arbeiteten die Forscher Verstöße gegen grundlegende Regeln des Marktplatzes in die Skills ein. Die Skills waren nicht direkt schädlich für Nutzer. Oftmals sammelten sie unerlaubt Daten oder lieferten Antworten auf Fragen, die Amazon verbietet.
Unter anderem schleusten die Forscher auf Skills in den Kinderbereich des Skills Store ein. Darunter war ein Skill, der eine Anleitung zum Abschalten eines Feuermelders lieferte. Ein anderer lieferte Informationen über Drogen. Ein anderer Skill, der eigentlich Informationen über Geografie bereitstellen sollte, verteilte indes unerwünschte Werbung. Die Forscher entwickelten außerdem einen Skill, der Kinder nach ihren Namen fragte.
Die Gründe für das Scheitern der Kontrollen waren die Forschern zufolge vielfältig. So wurden beispielsweise mehrere Skills mit denselben Verstößen eingereicht; einige schafften es in den Store, andere nicht. Die Forscher zogen daraus den Schluss, dass Amazon-Mitarbeiter die Richtlinien unterschiedlich anwenden.
Auch würden die im Code eines Skills eingetragenen Sprachbefehle unzureichend kontrolliert. Es sei anscheinend ausreichend, Sprachausgaben zeitlich leicht zu verzögern, um den Prüfprozess auszuhebeln. Auch verließen sich die Prüfer häufig zu sehr auf Angaben, die Entwickler in Formularen einreichten. Die Behauptung, ein Skill sammele keine Nutzerdaten, sei von Amazon nicht konsequent geprüft worden.
Fehler sollen sich aber auch durch den Einsatz von Mitarbeiter ergeben. Die Forscher gehen davon aus, dass bestimmte Verstöße genauer von automatisierten Systemen erkannt würden. Zeitmarken sollen zudem die Vermutung nahe legen, dass einige Skills außerhalb der üblichen Arbeitszeiten in den USA geprüft wurden, wovon die Forscher ableiten, dass möglicherweise Mitarbeiter beteiligt waren, deren Muttersprache nicht Englischt ist oder die US-Recht nicht vertraut waren.
Ihre unerlaubten Skills entfernten die Forscher nach Abschluss ihrer Untersuchung. Darüber hinaus beschäftigten sie sich mit 2085 negativen Kritiken zu 825 Skills im Kinderbereich. Darunter waren 52 Skills, die gegen Amazons Nutzungsbedingungen verstießen, weil sie beispielsweise Nutzerdaten sammelten oder zu positiven Bewertungen aufforderten.
Amazon wies die Vorwürfe der Forscher zurück. Die Forscher hätten zusätzliche Prozesse, die bei der Prüfung von Skills für Kinder angewendet würden, nicht berücksichtigt, darunter eine weitere Prüfung nach der Zertifizierung. „Das Vertrauen unserer Kunden hat oberste Priorität und wir nehmen die Richtlinien für die Alexa Skills sehr ernst“, sagte ein Amazon-Sprecher. Es gebe zudem Kontrollsysteme für eine dauerhafte Überwachung aktiver Skills auf möglicherweise gefährliches Verhalten und Richtlinienverstöße. Man begrüße die Arbeit von Forschern, die Amazon auf mögliche Probleme aufmerksam mache.
Dieselben Tests führten die Forscher auch für den Google Assistant Store aus. „Auch wenn Google beim Zertifizierungsverfahren auf der Grundlage unserer vorläufigen Messungen bessere Arbeit leistet, ist es immer noch nicht perfekt und weist potenziell ausnutzbare Mängel auf, die in Zukunft stärker geprüft werden müssen“, erklärten die Forscher.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…