Categories: Sicherheit

Forscher schmuggeln unerlaubte Skills in den Alexa Skills Store

Forscher haben sich ein Jahr lang mit dem Prüfprozess von Amazons Alexa Skills Store beschäftigt. In der Zeit gelang es ihnen, 234 Skills in den offiziellen Marktplatz einzustellen, die gegen dessen Richtlinien verstoßen – und zwar ohne größere Schwierigkeiten.

„Überraschenderweise konnten wir 193 Skills mit der ersten Einreichung zertifizieren“, teilten die Forscher mit. 41 Skills seien zurückgewiesen worden, davon 32 wegen Verstößen gegen die Datenschutzbestimmungen. Bei einem zweiten Versuchen seien dann auch die restlichen Skills angenommen worden.

Ziel der Studie – und vergleichbarer Untersuchungen anderer Forschungsteams – war es, Amazon auf Schwachstellen bei der Prüfung von Alexa Skills aufmerksam zu machen. Das Unternehmen habe jeweils zugesagt, die Fehler abzustellen, und jeweils habe eine neue Studie gezeigt, dass es unabhängig von Amazons Zusagen weiterhin möglich sein, schädliche Skills einzuschleusen.

Für die neue Studie arbeiteten die Forscher Verstöße gegen grundlegende Regeln des Marktplatzes in die Skills ein. Die Skills waren nicht direkt schädlich für Nutzer. Oftmals sammelten sie unerlaubt Daten oder lieferten Antworten auf Fragen, die Amazon verbietet.

Unter anderem schleusten die Forscher auf Skills in den Kinderbereich des Skills Store ein. Darunter war ein Skill, der eine Anleitung zum Abschalten eines Feuermelders lieferte. Ein anderer lieferte Informationen über Drogen. Ein anderer Skill, der eigentlich Informationen über Geografie bereitstellen sollte, verteilte indes unerwünschte Werbung. Die Forscher entwickelten außerdem einen Skill, der Kinder nach ihren Namen fragte.

Die Gründe für das Scheitern der Kontrollen waren die Forschern zufolge vielfältig. So wurden beispielsweise mehrere Skills mit denselben Verstößen eingereicht; einige schafften es in den Store, andere nicht. Die Forscher zogen daraus den Schluss, dass Amazon-Mitarbeiter die Richtlinien unterschiedlich anwenden.

Auch würden die im Code eines Skills eingetragenen Sprachbefehle unzureichend kontrolliert. Es sei anscheinend ausreichend, Sprachausgaben zeitlich leicht zu verzögern, um den Prüfprozess auszuhebeln. Auch verließen sich die Prüfer häufig zu sehr auf Angaben, die Entwickler in Formularen einreichten. Die Behauptung, ein Skill sammele keine Nutzerdaten, sei von Amazon nicht konsequent geprüft worden.

Fehler sollen sich aber auch durch den Einsatz von Mitarbeiter ergeben. Die Forscher gehen davon aus, dass bestimmte Verstöße genauer von automatisierten Systemen erkannt würden. Zeitmarken sollen zudem die Vermutung nahe legen, dass einige Skills außerhalb der üblichen Arbeitszeiten in den USA geprüft wurden, wovon die Forscher ableiten, dass möglicherweise Mitarbeiter beteiligt waren, deren Muttersprache nicht Englischt ist oder die US-Recht nicht vertraut waren.

Ihre unerlaubten Skills entfernten die Forscher nach Abschluss ihrer Untersuchung. Darüber hinaus beschäftigten sie sich mit 2085 negativen Kritiken zu 825 Skills im Kinderbereich. Darunter waren 52 Skills, die gegen Amazons Nutzungsbedingungen verstießen, weil sie beispielsweise Nutzerdaten sammelten oder zu positiven Bewertungen aufforderten.

Amazon wies die Vorwürfe der Forscher zurück. Die Forscher hätten zusätzliche Prozesse, die bei der Prüfung von Skills für Kinder angewendet würden, nicht berücksichtigt, darunter eine weitere Prüfung nach der Zertifizierung. „Das Vertrauen unserer Kunden hat oberste Priorität und wir nehmen die Richtlinien für die Alexa Skills sehr ernst“, sagte ein Amazon-Sprecher. Es gebe zudem Kontrollsysteme für eine dauerhafte Überwachung aktiver Skills auf möglicherweise gefährliches Verhalten und Richtlinienverstöße. Man begrüße die Arbeit von Forschern, die Amazon auf mögliche Probleme aufmerksam mache.

Dieselben Tests führten die Forscher auch für den Google Assistant Store aus. „Auch wenn Google beim Zertifizierungsverfahren auf der Grundlage unserer vorläufigen Messungen bessere Arbeit leistet, ist es immer noch nicht perfekt und weist potenziell ausnutzbare Mängel auf, die in Zukunft stärker geprüft werden müssen“, erklärten die Forscher.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Sicherheitsupdates für Adobe Reader

Adobe hat Sicherheitsupdates für den Adobe Reader veröffentlicht, nachdem Sicherheitslücken "in the wild" ausgenutzt wurden.

1 Stunde ago

Apple stoppt eine Million riskante oder anfällige Apps

Im Rahmen der Bemühungen, Nutzer vor Manipulationen zu schützen, hat Apple im Jahr 2020 fast…

2 Stunden ago

eBPF kommt für Windows 10 und Windows Server

In Linux-Kreisen hat sich eBPF zu einem mächtigen Werkzeug entwickelt, um Sandboxed-User-Space-Programme innerhalb des Kernels…

2 Stunden ago

In 7 Schritten zur Datenstrategie

Mit Daten zu arbeiten ist weder Luxus noch Zukunftsmusik, sondern ein handfester Wettbewerbsvorteil und in…

1 Tag ago

AXA stellt Ransomware-Versicherung ein

AXA. einer der größten europäischen Versicherer, setzt nun Policen in Frankreich aus, die Opfern von…

2 Tagen ago

Cloud-Geschäft leicht gemacht.

Join Us!-Initiative von Microsoft

2 Tagen ago