دانشگاهیان قاچاق 234 سیاست-نقض مهارت در الکسا مهارت های فروشگاه


echo-amazon-istock.png

مونستر (ابهامزدایی) – 27 ژانویه 2018: سفید آمازون اکو پلاس, الکسا سرویس های صوتی فعال سیستم تشخیص عکس در میز چوبی در اتاق نشیمن Packshot نشان آمازون لوگو

در طول اخیرا به این نتیجه رسیدند 12 ماه مطالعه الکسا مهارت های نقد و بررسی فروشگاه فرایند دانشگاهیان گفت: آنها موفق به قاچاق 234 سیاست-شکستن الکسا مهارت های (apps) به رسمی الکسا فروشگاه.

این مطالعه نتایج در واقع بدتر از آن به نظر می رسد چرا که دانشگاهیان سعی ها 234 سیاست-نرم افزار شکستن و موفق به دریافت همه آنها را تایید و بدون مشکلات جدی است.

“با کمال تعجب ما با موفقیت گواهی 193 مهارت های خود تسلیم” تیم تحقیقاتی نوشت: این هفته در یک وب سایت جزئیات یافته های خود را.

این تیم تحقیقاتی گفت که 41 الکسا مهارت های رد شد در اولین ارسال اما آنها در نهایت آنها را در فروشگاه رسمی پس از دوم امتحان کنید.

“سیاست حفظ حریم خصوصی نقض شد و این موضوع مشخص شده برای 32 رد در حالی که 9 رد شد با توجه به مسائل UI.” محققان گفتند.

هدف از این عجیب و غریب پژوهش به آزمون آمازون مهارت های فرایند بررسی برای الکسا مهارت های فروشگاه, پورتال وب که در آن کاربران به نصب برنامه های خود را برای الکسا دستگاه.

بیش از گذشته چند سال قبل کار علمی [1, 2, 3, 4] نشان داد که تیم های تحقیقاتی تا به حال هیچ مشکل در آپلود مخرب الکسا مهارت در فروشگاه رسمی که آنها استفاده می شود برای تست آزمایش های خود را.

با هر پروژه محققان هشدار داد آمازون که مهارت های فرایند بررسی شد کافی آمازون وعده داده شده به انجام بهتر و سپس تحقیقات جدید خواهد آمد ماه بعد نشان می دهد که محققان هنوز قادر به آپلود مخرب مهارت صرف نظر از آمازون وعده داده است.

amazon-alexa-skills-oops.png

تصویر از یک به روز رسانی در SR Labs صفحه وب اختصاص داده شده به تحقیق از مخرب الکسا مهارت.

تصویر: ZDNet

قرار دادن سیاست-شکستن مهارت در کودکان و نوجوانان دسته

در این پژوهش تیم تحقیقاتی قرار دادن با هم یک گروه از 234 الکسا مهارت است که نقض اساسی سیاست های آمازون.

این نرم افزار که نیست کاملا مخرب اما صرفا ارائه ممنوع اطلاعات به کاربر سوال و یا جمع آوری اطلاعات خصوصی با درخواست الکسا کاربران در مورد نام و دیگر اطلاعات شخصی.

تیم تحقیقاتی آپلود نرم افزار در الکسا مهارت ذخیره کردم و آنها تایید شده و تایید شده برای کودکان و نوجوانان بخش از الکسا فروشگاه که در آن سیاست ها باید بیشتر به شدت اجرا از بخش های دیگر.

مثال الکسا مهارت های تیم تحقیقاتی کردم ذکر شده در کودکان و نوجوانان بخش عبارتند از:

الکسا مهارت است که دستورالعمل های ارائه شده در چگونه برای ساخت یک اسلحه صدا خفه کن (دوربین مخفی داخل یک کاردستی بچه ها, مهارت)

الکسا مهارت توصیه به استفاده از مواد مخدر تفریحی (مخفی داخل یک بچه کویر حقایق مهارت)

الکسا مهارت هل دادن تبلیغات (مخفی داخل یک جغرافیا حقایق مهارت)

الکسا, مهارت, جمع آوری کودکان نام (مخفی داخل یک داستان سرایی مهارت)

الکسا مهارت جمع آوری داده های سلامت (مخفی داخل یک, بهداشت و درمان, مهارت)

این تیم علمی با اشاره به چند دلایل چرا آنها قادر به انتشار همه سیاست های خود را-نقض مهارت در فروشگاه رسمی:

  • تناقض در چک – محققان گفت که مهارت های مختلف شکستن همان سیاست دریافت انتقادات و پیشنهادات مختلف از داوران نشان می دهد که داوران نبودند مشاهده و یا اعمال سیاست های آمازون در راه همان در سراسر مطالب ارسالی.
  • محدود صدای چک – داوران را محدود چک کردن مهارت فرمان های صوتی و کد آن. این اجازه می دهد تا بازیگران تهدید به انتشار برنامه های مخرب در فروشگاه رسمی فقط با به تأخیر انداختن اولیه مخرب پاسخ به اندازه کافی برای دور زدن کوتاه فرایند بررسی.
  • Overtrust قرار داده شده بر روی توسعه دهندگان – محققان گفت که آمازون به نظر می رسد بومی اعتماد مهارت توسعه دهندگان و تصویب خواهد شد مهارت بر اساس پاسخ های توسعه دهندگان ارائه در فرم های ارائه شده در طول مهارت فرایند بررسی. این امکان را به دانشمندان ادعا می کنند که برنامه خود را نمی جمع آوری اطلاعات کاربر چیزی است که آمازون هرگز تایید در طول واقعی بررسی کنید.
  • انسان درگیر در صدور گواهینامه – تیم تحقیقاتی گفت که بر اساس تناقض در انواع گواهینامه مهارت و رد منجر شده آنها به این باور است که صدور گواهینامه مهارت تا حد زیادی متکی بر دستی تست به عنوان برخی از مسائل را می تواند تشخیص داده شده اند توسط برخی از سیستم های خودکار.
  • سهل انگاری در صدور گواهینامه – بررسی فرایند نبود کامل به اندازه کافی برای تشخیص آشکار سیاست-شکستن مهارت.
  • احتمالا برون سپاری و انجام نشده در ما – بر اساس مهارت, نقد و بررسی, مقایسه, برخی, بررسی, به نظر می رسد انجام شده توسط زبان مادری غیر انگلیسی و یا توسط داوران آشنا با قوانین ایالات متحده.

بررسی زمان کودکان و نوجوانان مهارت های

پس از انجام تحقیقات خود دانشگاهیان تیم خود را برداشته مخرب مهارت برای جلوگیری از داشتن یک کاربر به طور تصادفی در سراسر تلو تلو خوردن آن و نصب آن بر روی دستگاه های خود را.

این تیم تحقیقاتی همچنین می خواستم به دانم اگر بد دیگر مهارت های ساخته شده از آن در مقام الکسا مهارت های فروشگاه در گذشته است. آنها این کار را با انتخاب 2,085 بررسی منفی از مهارت های ذکر شده در کودکان و نوجوانان دسته بندی و شناسایی 825 الکسا مهارت های که بر روی آنها نوشته شده بودند.

amazon-alexa-skills-reviews.png

“از طریق پویا تست 825 مهارت های ما شناسایی 52 مشکل با مهارت های سیاست نقض و 51 مهارت های شکسته در زیر کودکان و نوجوانان رده” پژوهشگران گفت.

این شامل الکسا مهارت های که مشکوک جمع آوری اطلاعات کاربر مهارت های است که شامل تبلیغات و یا مهارت است که وعده های مختلف غرامت برای بررسی مثبت در الکسا فروشگاه.

amazon-alexa-skills-names.png

آمازون مخالف با مطالعه اما وعده به انجام بهتر

در یک ایمیل امروز آمازون مخالفت با یافته های این گزارش با استناد به فرآیندهای اضافی هستند که در بررسی کودک به کارگردانی مهارت است که این تیم تحقیقاتی را در نظر نمی.

این شامل اضافی ممیزی برای کودک محور مهارت است که پس از مهارتهای ذکر شده و تایید شده در فروشگاه رسمی و مهارت نظارت سیستم است که اسکن مهارت پاسخ برای محتوای نامناسب.

پس از “بد” نرم افزار حذف شدند بلافاصله بعد از گرفتن گواهی اضافی این سیستم نمی کنید به پا زدن در.

“اعتماد مشتری اولویت ما است و ما را نقض ما الکسا مهارت سیاست های جدی” آمازون سخنگو گفته ZDNet.

“ما رفتار امنیتی و سیاست بررسی به عنوان بخشی از مهارت گواهینامه و سیستم در محل به طور مستمر نظارت بر زندگی مهارت های به طور بالقوه مخرب رفتار یا سیاست خارجی ، هر متخلف مهارت های ما شناسایی مسدود شده در گواهینامه و یا به سرعت غیر فعال می شود.

“ما به طور مداوم بهبود این ساز و کار قرار داده اند اضافی صدور چک در محل برای حفاظت بیشتر مشتریان ما. ما قدردانی از کار محققان مستقل که کمک به مسائل بالقوه به توجه ما است.”

اگر این جدید صدور چک را یک تفاوت باقی مانده است دیده شود به احتمال زیاد در آینده دور از تحقیق است.

جزئیات اضافی در دسترس هستند در یک مقاله با عنوان “خطرناک مهارت های گواهی رو: اندازه گیری theTrustworthiness از آمازون الکسا پلت فرم” [PDF] که ارائه شد این هفته در FTC در PrivacyCon 2020 کنفرانس های مجازی.


این تیم تحقیقاتی همچنین فرار آزمون های مشابه در گوگل, Assistant, فروشگاه, اما گفت که گوگل به کار گرفته شده در آن بسیار بهتر است.

“در حالی که گوگل انجام یک کار بهتر در فرآیند صدور گواهینامه بر اساس اولیه ما اندازه گیری آن است که هنوز هم کامل نیست و آن را به طور بالقوه بهره برداری نقص است که نیاز به آزمایش های بیشتر در آینده” محققان گفتند.

“در مجموع ما فرستاده شده 273 سیاست-نقض اقدامات مورد نیاز توسط Amazon/Google و اگر رعایت آنها می تواند تصویب صدور گواهینامه. به عنوان یک نتیجه 116 از آنها را تایید کرد. ما فرستاده شده 85 اقدامات برای بچه ها کردم و 15 مورد تایید; برای دیگر دسته بندی 101 اقدامات مصوب در میان 188 اقدامات است.

در اینجا یک مثال از دستیار اقدامات (نرم افزار) که تایید شده در آزمون های جمع آوری کودکان نام:

tinyurlis.gdv.gdv.htclck.ruulvis.netshrtco.de