blank

Amazon har en så kallad smart högtalare som kan utföra en rad olika saker, slå på musik, belysning, leta efter sportresultat och mycket mer. Över tid så har Amazon och andra lagt till allt fler funktioner – över 90 000 olika funktioner – men bara ett litet fåtal av dem omfattas av något slags regelverk som reglerar hur insamlad data får användas.

Studenter vid tyska Ruhr-University Bochum har gått igenom Amazons regelverk, gått igenom allt det Alexa kan och sedan granskat om funktionerna omfattas av något regelverk och det visar sig att så inte är fallet.

”A first problem is that Amazon has partially activated skills automatically since 2017. Previously, users had to agree to the use of each skill. Now they hardly have an overview of where the answer Alexa gives them comes from and who programmed it in the first place.”

Dr. Martin Degeling

Byggt ut

Amazon och andra utvecklare har lagt till nya funktioner i rask takt sedan 2017 och inledningsvis så ombads användare att godkänna dem vartefter de lades till i mjukvaran men sedan dessa så har antalet funktioner passerat 90 000 vilket gör att nya användare omöjligen kan ha överblick vad Alexa kan och hur alla dessa funktioner fungerar, vad de gör och vilken information de eventuellt samlar in.

”Furthermore, we were able to prove that Skills can be published under a false identity. Well-known automotive companies, for example, make voice commands available for their smart systems. Users download these believing that the company itself has provided these Skills. But that is not always the case,” says Martin Degeling.

I undersökningen konstaterades att det är tämligen enkelt att gå runt Amazons kontroller av vem som lämnar in en ny funktion och det är fullt möjligt att använda ett mer känt, etablerat företags identitet för att ladda upp nya funktioner som sedan läggs in i Amazons Alexa.

Our study also showed that the Skills could be changed by the providers afterward,” explains Christopher Lentzsch from the RUB Chair of Information and Technology Management. This vulnerability places the security of the previous certification process on the part of Amazon into another perspective. ”Attackers could reprogram their voice command after a while to ask for users’ credit card data, for example,”

Privacy issues and security risks in Alexa Skills

Brister

Bristerna med Amazons Alexa är flera:

  • Bristande kontroll över vem, eller vilka som lägger till funktioner
  • Inlagda funktioner kan ändras i efterhand
  • Bara drygt 24 procent av alla funktioner omfattas av något slags regelverk