Une étude révèle l’étendue des vulnérabilités de confidentialité avec Alexa d’Amazon

Une étude récente décrit une gamme de problèmes de confidentialité liés aux programmes avec lesquels les utilisateurs interagissent lorsqu’ils utilisent l’assistant activé par la voix d’Amazon, Alexa. Les problèmes vont des politiques de confidentialité trompeuses à la capacité des tiers à modifier le code de leurs programmes après avoir reçu l’approbation d’Amazon.

«Lorsque les gens utilisent Alexa pour jouer à des jeux ou rechercher des informations, ils pensent souvent qu’ils n’interagissent qu’avec Amazon», déclare Anupam Das, co-auteur de l’article et professeur adjoint d’informatique à la North Carolina State University. « Mais de nombreuses applications avec lesquelles ils interagissent ont été créées par des tiers, et nous avons identifié plusieurs failles dans le processus de vérification actuel qui pourraient permettre à ces tiers d’accéder aux informations personnelles ou privées des utilisateurs. »

Le problème concerne les programmes qui s’exécutent sur Alexa, permettant aux utilisateurs de tout faire, de l’écoute de la musique à la commande d’épicerie. Ces programmes, qui sont à peu près équivalents aux applications sur un smartphone, sont appelés compétences. Amazon a vendu au moins 100 millions d’appareils Alexa (et peut-être deux fois plus), et les utilisateurs ont le choix entre plus de 100000 compétences. Étant donné que la majorité de ces compétences sont créées par des développeurs tiers et qu’Alexa est utilisée dans les foyers, les chercheurs voulaient en savoir plus sur les problèmes potentiels de sécurité et de confidentialité.

Avec cet objectif à l’esprit, les chercheurs ont utilisé un programme automatisé pour collecter 90 194 compétences uniques trouvées dans sept magasins de compétences différents. L’équipe de recherche a également développé un processus d’examen automatisé qui a fourni une analyse détaillée de chaque compétence.

Un problème que les chercheurs ont noté était que les magasins de compétences affichent le développeur responsable de la publication de la compétence. C’est un problème car Amazon ne vérifie pas que le nom est correct. En d’autres termes, un développeur peut prétendre être n’importe qui. Cela permettrait à un attaquant de s’enregistrer facilement sous le nom d’une organisation plus digne de confiance. Cela, à son tour, pourrait tromper les utilisateurs en leur faisant croire que la compétence a été publiée par l’organisation de confiance, ce qui facilite les attaques de phishing.

Les chercheurs ont également constaté qu’Amazon permet à plusieurs compétences d’utiliser la même phrase d’appel.

«Cela pose problème car, si vous pensez activer une compétence, mais que vous en activez une autre, cela crée le risque que vous partagiez des informations avec un développeur avec lequel vous n’aviez pas l’intention de partager des informations», déclare Das. « Par exemple, certaines compétences nécessitent un lien vers un compte tiers, tel qu’un compte de messagerie électronique, bancaire ou de réseau social. Cela pourrait poser un risque important de confidentialité ou de sécurité pour les utilisateurs. »

En outre, les chercheurs ont démontré que les développeurs peuvent modifier le code sur le back-end des compétences après que la compétence a été placée dans les magasins. Plus précisément, les chercheurs ont publié une compétence, puis ont modifié le code pour demander des informations supplémentaires aux utilisateurs après l’approbation de la compétence par Amazon.

«Nous n’avons pas été engagés dans un comportement malveillant, mais notre démonstration montre qu’il n’y a pas suffisamment de contrôles en place pour empêcher que cette vulnérabilité ne soit abusée», dit Das.

Amazon a mis en place certaines protections de confidentialité, y compris des exigences explicites liées à huit types de données personnelles, y compris les données de localisation, les noms complets et les numéros de téléphone. L’une de ces exigences est que toute compétence demandant ces données doit disposer d’une politique de confidentialité accessible au public expliquant pourquoi la compétence veut ces données et comment la compétence utilisera les données.

Mais les chercheurs ont constaté que 23,3% des 1146 compétences qui ont demandé l’accès à des données sensibles à la confidentialité n’avaient pas de politique de confidentialité ou que leurs politiques de confidentialité étaient trompeuses ou incomplètes. Par exemple, certains ont demandé des informations privées pensaient même que leurs politiques de confidentialité indiquaient qu’ils ne demandaient pas d’informations privées.

Les chercheurs présentent également une foule de recommandations sur la façon de rendre Alexa plus sûre et de permettre aux utilisateurs de prendre des décisions plus éclairées concernant leur vie privée. Par exemple, les chercheurs encouragent Amazon à valider l’identité des développeurs de compétences et à utiliser des indices visuels ou audio pour informer les utilisateurs lorsqu’ils utilisent des compétences qui n’ont pas été développées par Amazon lui-même.

«Ce communiqué n’est pas assez long pour parler de tous les problèmes ou de toutes les recommandations que nous décrivons dans le document», déclare Das. « Il y a beaucoup de place pour de futurs travaux dans ce domaine. Par exemple, nous nous intéressons aux attentes des utilisateurs en termes de sécurité du système et de confidentialité lorsqu’ils interagissent avec Alexa. »

Le document, « Hey Alexa, est-ce que cette compétence est sûre? Regardons de plus près l’écosystème des compétences Alexa », a été présentée au Symposium sur la sécurité des réseaux et des systèmes distribués 2021, qui s’est tenu du 21 au 24 février.