Nhiều ứng dụng trên cửa hàng của Amazon vi phạm chính sách bảo mật

Hoàng Linh| 30/07/2020 11:44
Theo dõi ICTVietnam trên

Các nhà nghiên cứu cho biết đã xác định được 52 ứng dụng hiện diện trên cửa hàng Alexa có vấn đề. Tất cả đều nhắm vào trẻ em.

Trong một nghiên cứu kéo dài 12 tháng gần đây về quy trình đánh giá cửa hàng ứng dụng Alexa (Alexa Skills Store), các nhà nghiên cứu cho biết họ đã tìm cách thử đưa lên 234 ứng dụng vi phạm chính sách lên cửa hàng Alexa chính thức. Kết quả cho thấy thực sự có vấn đề vì 234 ứng dụng vi phạm chính sách quản lý này đã được phê duyệt toàn bộ, mà không gặp khó khăn nghiêm trọng nào

Nhiều ứng dụng trên cửa hàng của Amazon vi phạm chính sách bảo mật - Ảnh 1.

Nhóm nghiên cứu đã công bố phát hiện của họ trên một trang web: "Đáng ngạc nhiên, chúng tôi đã được chứng nhận thành công 193 ứng dụng trong lần gửi lên đầu tiên. 41 ứng dụng Alexa đã bị từ chối trong lần gửi đầu tiên, nhưng cuối cùng các ứng dụng này đã được đưa lên cửa hàng chính thức sau lần thử thứ hai".

"Trong số 41 ứng dụng bị từ chối lần đầu, 32 ứng dụng bị từ chối do vi phạm các chính sách bảo mật, 9 ứng dụng khác từ chối do lỗi giao diện người dùng", các nhà nghiên cứu cho biết.

Mục đích của dự án nghiên cứu đặc biệt này là để kiểm tra quy trình đánh giá cácứng dụngcủa Amazon cho Alexa Skills Store, một cổng web nơi người dùng truy cập để cài đặt ứng dụng cho thiết bị Alexa của họ.

Trong vài năm qua, các nhóm nghiên cứu không gặp khó khăn trong việc tải các ứngdụng độc hại lên cửa hàng chính thứcnày, nơi họ đã sử dụng để kiểm tra các thí nghiệm của mình.

Với mỗi dự án, các nhà nghiên cứu cảnh báo Amazon rằng quy trình đánh giá ứngdụng là chưa đủ chặt chẽ. Amazon hứa sẽ làm tốt hơn nhưng sau đó các nhà nghiên cứu vẫn có thể tải lên các ứngdụng độc hại.

Nhóm nghiêncứu đã thôngtin một số lý do tại sao các ứngdụngxâm phạm chính sách lạilên được cửa hàng chính thức:

Sự không nhất quán trong kiểm tra - Các nhà nghiên cứu cho biết các ứngdụngkhác nhau trong cùng một chính sách đã nhận được phản hồi khác nhau từ các nhà đánh giá, cho thấy rằng nhữngngười đánh giá không xem hoặc áp dụng các chính sách của Amazon theo cùng một cách trong quá trình gửi.

Kiểm tra giọng nói bịgiớihạn - Người đánh giá đã kiểm tra giới hạn các lệnh thoại và mã của kỹ năng. Điều này cho phép các tác nhân đe dọa phát hành các ứng dụng độc hại lên cửa hàng chính thức chỉ bằng cách trì hoãn các phản ứng độc hại ban đầu, bỏ qua quy trình xem xét ngắn.

Quátin cậy các nhà phát triển - Các nhà nghiên cứu cho biết Amazon dường như tin tưởng các nhà phát triển ứngdụngvà sẽ phê duyệt các ứngdụngdựa trên câu trả lời mà các nhà phát triển cung cấp trong các biểu mẫu được gửi trong quá trình xem xét ứngdụng. Điều này cho phép các nhà nghiên cứu tuyên bố rằng ứng dụng của họ không thu thập thông tin người dùng, điều mà Amazon chưa bao giờ xác minh trong quá trình đánh giá thực tế.

Con người có liên quan đến chứng nhận - Nhóm nghiên cứu cho biết dựa trên sự không nhất quán trong các chứng nhận và từ chối ứngdụngkhác nhau đã khiến họ tin rằng chứng chỉ ứngdụng chủ yếu dựa vào kiểm tra thủ công, vì một số vấn đề có thể được một số hệ thống tự độngphát hiện.

Tiêu cực trong quá trình chứng nhận - Quá trình xem xét không đủ kỹ lưỡng để phát hiện các ứngdụng vi phạm chính sách rõ ràng.

Có khảnăng thuê ngoài và không được thực hiện tại Mỹ - Dựa trên cácdấu thời gian đánh giá ứngdụng, một số đánh giá dường như được thực hiện bởi những người nói tiếng Anh không phải là người bản xứ hoặc bởi những người đánh giá không quen thuộc với luật pháp Mỹ.

Các ứng dụng cho trẻ chưa được kiểm soát nghiêm ngặt

Sau khi tiến hành đưa các ứng dụng độc hại lên cửa hàng để nghiên cứu, nhóm nghiêncứu đã loại bỏ các ứng dụng này để tránh việc người dùng vô tình thấy và cài đặt trên thiết bị của họ.

Tuy nhiên, nhóm nghiên cứu cũng muốn biết liệu các ứngdụng xấu độc khác có xuất hiện trên cửa hàng Alexa trướcđây không. Họ chọn 2.085 đánh giá tiêu cực từ các ứngdụng được liệt kê trong danh mục trẻ em và xác định 825 ứngdụng cho trẻ em đã được đăng.

234 ứng dụng xâm phạm chính sách trên Cửa hàng ứng dụng của Amazon - Ảnh 1.

Các tiêu chí đánh giá quan trọng được lựa chọn trong phần ứng dụng trẻ em

"Thông qua thử nghiệm linh động 825 ứng dụng, chúng tôi đã xác định được 52 ứng dụng vi phạm chính sách và 51 ứng dụng bị lỗi trong danh mục trẻ em", các nhà nghiên cứu cho biết.

Trong số các ứng dụng này có các ứngdụng Alexa bị nghi ngờ là thu thập thông tin người dùng, các ứngdụng quảng cáo hoặc các ứngdụng được cho là được chi để đánh giá tích cực trên cửa hàng Alexa.

234 ứng dụng xâm phạm chính sách trên Cửa hàng ứng dụng của Amazon - Ảnh 2.

Danh sách các ứng dụng bị xâm phạm chính sách trong tiêu chí trẻ em

Amazon không đồng ý với kết quả nghiên cứu nhưng hứa làm tốt hơn

Trong một email, Amazon không đồng ý với kết quả của báo cáo, và thông tin thêm về các quy trình liên quan đến việc đánh giá các ứngdụnghướng đến trẻ em mà nhóm nghiên cứu không xem xét. Việc này bao gồm thẩm định bổ sung đối với các ứng dụng dành cho trẻ em được đưa lên cửa hàng chính thức. Một hệ thống giám sát ứng dụng sẽ quét các phản hồi ứng dụng về nội dung không phù hợp.

Do các ứng dụng "xấu" đã bị xóa ngay lập tức sau khi được thẩm định, tuy nhiên, việc tái thẩm định đã không diễn ra.

"Sự tin tưởng của khách hàng là ưu tiên hàng đầu của chúng tôi và chúng tôithực hiện nghiêm túc các chính sách ứngdụngAlexa của mình", một phát ngôn viên của Amazon trao đổi với ZDNet.

Theo Amazon, họ liên tục cải tiến các cơ chế này và đã đưa ra các kiểm tra bổ sung để bảo vệ khách hàng.

Ngoài ra, nhóm nghiên cứu cũng đã tiến hành các thử nghiệm tương tự trên cửa hàng Google Assistant, nhưng kết quả cho thấy Google xử lý nó tốt hơn nhiều.

Các nhà nghiên cứu cho biết: "Mặc dù Google thực hiện tốt hơn trong quy trình xác nhận ứng dụng dựa trên phép đo sơ bộ của chúng tôi, nhưng nó vẫn chưa hoàn hảo và có những lỗ hổng có thể khai thác cần được thử nghiệm nhiều hơn trong tương lai".

"Tổng cộng, chúng tôi đã gửi tới 273 ứng dụng vi phạm chính sách được Amazon/Google yêu cầu và quan sát xem các ứng dụng có thể vượt qua thẩm định hay không. Kết quả, 116 trong số đó đã được phê duyệt. Chúng tôi cũng đã gửi 85 ứng dụng cho trẻ em và 15 ứng dụng được phê duyệt; các ứng dụng tiêu chí khác thì có 101 ứng dụng được phê duyệt trong số 188 ứng dụng", các nhà nghiên cứu cho biết thêm.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Bộ KH&CN ban hành Thông tư đầu tiên sau sau hợp nhất
    Ngày 31/3/2025, Bộ Khoa học và Công nghệ (KH&CN) đã ban hành Thông tư số 01/2025/TT-BKHCN về việc sửa đổi, bổ sung một số nội dung tại Phụ lục ban hành kèm theo Thông tư số 08/2021/TT-BTTTT ngày 14/10/2021 quy định Danh mục thiết bị vô tuyến điện được miễn giấy phép sử dụng tần số vô tuyến điện, điều kiện kỹ thuật và khai thác kèm theo.
  • Bảo đảm an toàn dữ liệu người sử dụng dịch vụ bưu chính là ưu tiên hàng đầu
    Mới đây, Bộ KH&CN vừa phát hành văn bản số 509/KHCN-BC gửi các doanh nghiệp bưu chính về việc tăng cường công tác bảo đảm an toàn dữ liệu người sử dụng dịch vụ bưu chính.
  • Tăng cường huy động nguồn lực KOLs trong hoạt động thông tin đối ngoại
    Năm 2024, Cục Thông tin đối ngoại (TTĐN) đã thành công việc đưa TTĐN lên không gian mới - không gian mạng - với nhiều kết quả đáng ghi nhận. Trong đó, có việc thí điểm thành công trong huy động những người có ảnh hưởng lớn trên mạng xã hội (MXH) cùng chung tay trong thực hiện nhiệm vụ cơ bản thứ hai của TTĐN đó là quảng bá hình ảnh quốc gia.
  • Tác giả Nhật Bản với những ý tưởng lôi cuốn trẻ đọc sách
    Với máy ảnh bằng bìa giấy, các món đồ chơi hết sức đơn giản bằng kẹp quần áo và giấy màu…, tác giả Yuichi Kimura với mái đầu bạc phơ đã khiến cho khoảng 20 em nhỏ ở nhiều lứa tuổi quên hẳn đi những thiết bị điện tử, game hay những trò giải trí cuốn hút khác từ công nghệ.
  • Microsoft và 15 cột mốc định hình tầm nhìn về AI
    Gã khổng lồ công nghệ Microsoft sắp bước qua cột mốc 50 năm thành lập với nhiều thách thức trong thời đại trí tuệ nhân tạo (AI). Hãy cùng khám phá cách Microsoft sẽ phát triển nền tảng, công cụ và cơ sở hạ tầng AI cho tương lai.
Đừng bỏ lỡ
Nhiều ứng dụng trên cửa hàng của Amazon vi phạm chính sách bảo mật
POWERED BY ONECMS - A PRODUCT OF NEKO