ИБ-специалисты, пожелавшие остаться анонимными, провели эксперимент — они успешно загрузили 234 вредоносных навыка для голосового ассистента Alexa в магазин Alexa Skills. Попутно они обнаружили ещё 52 вредоноса и 51 неработающий навык.
193 навыка попали в магазин с первой попытки, а 41 навык сначала был отклонён из-за нарушения политики конфиденциальности и проблем с пользовательским интерфейсом, но со второй попытки и эти разработки были приняты.
Специалисты приводят в пример несколько потенциально опасных навыков: инструкция по сборке глушителя для пистолета (спрятана в раздел с детскими поделками), рекомендации по использованию психотропных веществ (в интересных фактах для детей), сбор конфиденциальной медицинской информации о пользователе, воспроизведение рекламы, а также неуместные просьбы оставить отзывы о различных товарах в маркетплейсе Amazon.
Представители Amazon прокомментировали изданию ZDNet отчёт специалистов. По их словам, навыки, предназначенные для детей, проходят дополнительную проверку на содержание неприемлемого контента, а поскольку специалисты почти сразу удаляли свои проекты из Alexa Skills, расширенный аудит в их случае не проводился.
С помощью навыков разработчики могут добавлять голосовому ассистенту Alexa новые возможности. Этот ассистент принадлежит компании Amazon и используется в умных колонках Amazon Echo и других устройствах.
+1066