Nhiều ứng dụng trên cửa hàng của Amazon vi phạm chính sách bảo mật

Trong một nghiên cứu kéo dài 12 tháng gần đây về quy trình đánh giá cửa hàng ứng dụng Alexa (Alexa Skills Store), các nhà nghiên cứu cho biết họ đã tìm cách thử đưa lên 234 ứng dụng vi phạm chính sách lên cửa hàng Alexa chính thức. Kết quả cho thấy thực sự có vấn đề vì 234 ứng dụng vi phạm chính sách quản lý này đã được phê duyệt toàn bộ, mà không gặp khó khăn nghiêm trọng nào

Nhóm nghiên cứu đã công bố phát hiện của họ trên một trang web: "Đáng ngạc nhiên, chúng tôi đã được chứng nhận thành công 193 ứng dụng trong lần gửi lên đầu tiên. 41 ứng dụng Alexa đã bị từ chối trong lần gửi đầu tiên, nhưng cuối cùng các ứng dụng này đã được đưa lên cửa hàng chính thức sau lần thử thứ hai".

"Trong số 41 ứng dụng bị từ chối lần đầu, 32 ứng dụng bị từ chối do vi phạm các chính sách bảo mật, 9 ứng dụng khác từ chối do lỗi giao diện người dùng", các nhà nghiên cứu cho biết.

Mục đích của dự án nghiên cứu đặc biệt này là để kiểm tra quy trình đánh giá cácứng dụngcủa Amazon cho Alexa Skills Store, một cổng web nơi người dùng truy cập để cài đặt ứng dụng cho thiết bị Alexa của họ.

Trong vài năm qua, các nhóm nghiên cứu không gặp khó khăn trong việc tải các ứngdụng độc hại lên cửa hàng chính thứcnày, nơi họ đã sử dụng để kiểm tra các thí nghiệm của mình.

Với mỗi dự án, các nhà nghiên cứu cảnh báo Amazon rằng quy trình đánh giá ứngdụng là chưa đủ chặt chẽ. Amazon hứa sẽ làm tốt hơn nhưng sau đó các nhà nghiên cứu vẫn có thể tải lên các ứngdụng độc hại.

Nhóm nghiêncứu đã thôngtin một số lý do tại sao các ứngdụngxâm phạm chính sách lạilên được cửa hàng chính thức:

Sự không nhất quán trong kiểm tra - Các nhà nghiên cứu cho biết các ứngdụngkhác nhau trong cùng một chính sách đã nhận được phản hồi khác nhau từ các nhà đánh giá, cho thấy rằng nhữngngười đánh giá không xem hoặc áp dụng các chính sách của Amazon theo cùng một cách trong quá trình gửi.

Kiểm tra giọng nói bịgiớihạn - Người đánh giá đã kiểm tra giới hạn các lệnh thoại và mã của kỹ năng. Điều này cho phép các tác nhân đe dọa phát hành các ứng dụng độc hại lên cửa hàng chính thức chỉ bằng cách trì hoãn các phản ứng độc hại ban đầu, bỏ qua quy trình xem xét ngắn.

Quátin cậy các nhà phát triển - Các nhà nghiên cứu cho biết Amazon dường như tin tưởng các nhà phát triển ứngdụngvà sẽ phê duyệt các ứngdụngdựa trên câu trả lời mà các nhà phát triển cung cấp trong các biểu mẫu được gửi trong quá trình xem xét ứngdụng. Điều này cho phép các nhà nghiên cứu tuyên bố rằng ứng dụng của họ không thu thập thông tin người dùng, điều mà Amazon chưa bao giờ xác minh trong quá trình đánh giá thực tế.

Con người có liên quan đến chứng nhận - Nhóm nghiên cứu cho biết dựa trên sự không nhất quán trong các chứng nhận và từ chối ứngdụngkhác nhau đã khiến họ tin rằng chứng chỉ ứngdụng chủ yếu dựa vào kiểm tra thủ công, vì một số vấn đề có thể được một số hệ thống tự độngphát hiện.

Tiêu cực trong quá trình chứng nhận - Quá trình xem xét không đủ kỹ lưỡng để phát hiện các ứngdụng vi phạm chính sách rõ ràng.

Có khảnăng thuê ngoài và không được thực hiện tại Mỹ - Dựa trên cácdấu thời gian đánh giá ứngdụng, một số đánh giá dường như được thực hiện bởi những người nói tiếng Anh không phải là người bản xứ hoặc bởi những người đánh giá không quen thuộc với luật pháp Mỹ.

Các ứng dụng cho trẻ chưa được kiểm soát nghiêm ngặt

Sau khi tiến hành đưa các ứng dụng độc hại lên cửa hàng để nghiên cứu, nhóm nghiêncứu đã loại bỏ các ứng dụng này để tránh việc người dùng vô tình thấy và cài đặt trên thiết bị của họ.

Tuy nhiên, nhóm nghiên cứu cũng muốn biết liệu các ứngdụng xấu độc khác có xuất hiện trên cửa hàng Alexa trướcđây không. Họ chọn 2.085 đánh giá tiêu cực từ các ứngdụng được liệt kê trong danh mục trẻ em và xác định 825 ứngdụng cho trẻ em đã được đăng.

"Thông qua thử nghiệm linh động 825 ứng dụng, chúng tôi đã xác định được 52 ứng dụng vi phạm chính sách và 51 ứng dụng bị lỗi trong danh mục trẻ em", các nhà nghiên cứu cho biết.

Trong số các ứng dụng này có các ứngdụng Alexa bị nghi ngờ là thu thập thông tin người dùng, các ứngdụng quảng cáo hoặc các ứngdụng được cho là được chi để đánh giá tích cực trên cửa hàng Alexa.

Amazon không đồng ý với kết quả nghiên cứu nhưng hứa làm tốt hơn

Trong một email, Amazon không đồng ý với kết quả của báo cáo, và thông tin thêm về các quy trình liên quan đến việc đánh giá các ứngdụnghướng đến trẻ em mà nhóm nghiên cứu không xem xét. Việc này bao gồm thẩm định bổ sung đối với các ứng dụng dành cho trẻ em được đưa lên cửa hàng chính thức. Một hệ thống giám sát ứng dụng sẽ quét các phản hồi ứng dụng về nội dung không phù hợp.

Do các ứng dụng "xấu" đã bị xóa ngay lập tức sau khi được thẩm định, tuy nhiên, việc tái thẩm định đã không diễn ra.

"Sự tin tưởng của khách hàng là ưu tiên hàng đầu của chúng tôi và chúng tôithực hiện nghiêm túc các chính sách ứngdụngAlexa của mình", một phát ngôn viên của Amazon trao đổi với ZDNet.

Theo Amazon, họ liên tục cải tiến các cơ chế này và đã đưa ra các kiểm tra bổ sung để bảo vệ khách hàng.

Ngoài ra, nhóm nghiên cứu cũng đã tiến hành các thử nghiệm tương tự trên cửa hàng Google Assistant, nhưng kết quả cho thấy Google xử lý nó tốt hơn nhiều.

Các nhà nghiên cứu cho biết: "Mặc dù Google thực hiện tốt hơn trong quy trình xác nhận ứng dụng dựa trên phép đo sơ bộ của chúng tôi, nhưng nó vẫn chưa hoàn hảo và có những lỗ hổng có thể khai thác cần được thử nghiệm nhiều hơn trong tương lai".

"Tổng cộng, chúng tôi đã gửi tới 273 ứng dụng vi phạm chính sách được Amazon/Google yêu cầu và quan sát xem các ứng dụng có thể vượt qua thẩm định hay không. Kết quả, 116 trong số đó đã được phê duyệt. Chúng tôi cũng đã gửi 85 ứng dụng cho trẻ em và 15 ứng dụng được phê duyệt; các ứng dụng tiêu chí khác thì có 101 ứng dụng được phê duyệt trong số 188 ứng dụng", các nhà nghiên cứu cho biết thêm.