يكتشف الباحثون ثغرات أمنية ضخمة في “مهارات” أمازون لـ Alexa

32

قد ترغب في تعليق استخدام “مهارات” Alexa حتى تتمكن Amazon من حل بعض ثغرات الخصوصية في وصول الطرف الثالث.

بالنسبة الى دراسة نُشر اليوم بواسطة فريق من الباحثين من جامعة ولاية كارولينا الشمالية ، قد تكون بياناتك الشخصية – بما في ذلك ، على الأرجح ، معلوماتك المصرفية وقوائم جهات الاتصال الخاصة بك – في خطر إذا قمت بتثبيت أي مهارات خاصة بطرف ثالث من سوق مهارات Alexa

اهم الاشياء اولا: المهارات هي إصدارات تطبيقات Alexa. إنها مفيدة لكل شيء بدءًا من التحكم في أدوات الأجهزة الخارجية مثل المصابيح الذكية أو منظمات الحرارة الذكية إلى تسجيل الدخول إلى حسابك المصرفي باستخدام الأمر الصوتي عبر Alexa.

السبب الوحيد الذي يجعل القضايا التي أثارها الباحثون لا تشكل حالة إنذار أحمر هو أننا لا ندرك حاليًا أي دليل على أن هذه المخاطر الأمنية قد تم استغلالها بشكل ضار. ومع ذلك ، قد ترغب في إلغاء تثبيت جميع مهارات Alexa التابعة لجهات خارجية حتى تصدر Amazon ضمانًا لسد ثغرات الخصوصية.

المشكلة: ببساطة ، لا يبدو أن أمازون تقوم بفحص مطوري مهارات الأطراف الثالثة بشكل صحيح. هذا يعني أنه لا يوجد تحقق في مكانه للتأكد من أن الشخص أو الشركة التي تبيع أو تمنحك مهارة هي من يقولون. على ما يبدو ، تم إعداد النظام بحيث تعتقد أنك تستخدم مهارة من منظم الحرارة الذكي الخاص بك أو الشركة المصنعة للأقفال الذكية بينما في الواقع يتم خداعك من قبل مقلد مشبوه.

تزداد الأمور سوءا. وجد الباحثون أيضًا أنه يمكن للمطورين استخدام كلمات تنبيه زائدة عن الحاجة. في أسوأ الأحوال هنا ، قد يتم خداعك للاعتقاد بأنك تقدم معلوماتك إلى شركة تثق بها لأنك استخدمت عبارة استدعاء مثل “Alexa ، افتح تطبيق Blah Blah Blah Banking” بينما في الواقع يستخدم شخص ما هذه العبارة للشر المقاصد.

أخيرًا ، فيما يمكن أن يكون أكثر أمانًا وضوحا ، وفقًا للباحثين ، تسمح أمازون للناشرين ذوي المهارات الخارجية بتغيير سياسات الخصوصية الخاصة بهم بعد الحصول على الموافقة والنشر. لكل جامعة خبر صحفى:

أوضح الباحثون أنه يمكن للمطورين تغيير الكود الموجود في الجزء الخلفي من المهارات بعد وضع المهارة في المتاجر. على وجه التحديد ، نشر الباحثون مهارة ثم قاموا بتعديل الكود لطلب معلومات إضافية من المستخدمين بعد الموافقة على المهارة من قبل أمازون.

خذ سريع: نصيحتنا لأي شخص يستخدم جهازًا يدعم Alexa هو الانتقال إلى حساب Amazon الخاص بك والتأكد من أنك لا تستخدم أي مهارات خاصة بطرف ثالث. على الأقل حتى تتناول أمازون المشكلات التي أثارها الباحثون.

لحسن الحظ ، من السهل فعل ذلك.

  • الخطوة الأولى: تسجيل الدخول حساب أمازون الخاص بك
  • الخطوة الثانية: ابحث عن “مهارات Alexa” وانقر على أعلى نتيجة

 

 

  • الخطوة الثالثة: انقر فوق “مهاراتك” وتأكد من أنك لا تستخدم أي مهارات خاصة بطرف ثالث.

لقد تواصلنا مع Amazon للتعليق وسنقوم بتحديث هذه المقالة بمجرد سماعنا مرة أخرى.

يمكنك قراءة الورقة كاملة هنا.

تحرير 1:35 بتوقيت المحيط الهادئ في 4 فبراير 2021: قدم لنا متحدث باسم أمازون البيان التالي:

يمثل أمان أجهزتنا وخدماتنا أولوية قصوى. نجري مراجعات أمنية كجزء من شهادة المهارات ولدينا أنظمة لمراقبة المهارات الحية باستمرار بحثًا عن السلوك الضار المحتمل. يتم حظر أي مهارات مخالفة نحددها أثناء الحصول على الشهادة أو يتم إلغاء تنشيطها بسرعة. نحن نعمل باستمرار على تحسين هذه الآليات لزيادة حماية عملائنا. نحن نقدر عمل الباحثين المستقلين الذين يساعدون في لفت انتباهنا إلى القضايا المحتملة.

تم النشر في 11مارس ٢٠٢١ – ١٨:٤٥ بالتوقيت العالمي المنسق