Nhiều ứng dụng trên cửa hàng của Amazon vi phạm chính sách bảo mật

Thứ bảy, 26/09/2020 15:06

Các nhà nghiên cứu cho biết đã xác định được 52 ứng dụng hiện diện trên cửa hàng Alexa có vấn đề. Tất cả đều nhắm vào trẻ em.

 Trong một nghiên cứu kéo dài 12 tháng gần đây về quy trình đánh giá cửa hàng ứng dụng Alexa (Alexa Skills Store), các nhà nghiên cứu cho biết họ đã tìm cách thử đưa lên 234 ứng dụng vi phạm chính sách lên cửa hàng Alexa chính thức. Kết quả cho thấy thực sự có vấn đề vì 234 ứng dụng vi phạm chính sách quản lý này đã được phê duyệt toàn bộ, mà không gặp khó khăn nghiêm trọng nào

Nhóm nghiên cứu đã công bố phát hiện của họ trên một trang web: "Đáng ngạc nhiên, chúng tôi đã được chứng nhận thành công 193 ứng dụng trong lần gửi lên đầu tiên. 41 ứng dụng Alexa đã bị từ chối trong lần gửi đầu tiên, nhưng cuối cùng các ứng dụng này đã được đưa lên cửa hàng chính thức sau lần thử thứ hai".
 
"Trong số 41 ứng dụng bị từ chối lần đầu, 32 ứng dụng bị từ chối do vi phạm các chính sách bảo mật, 9 ứng dụng khác từ chối do lỗi giao diện người dùng", các nhà nghiên cứu cho biết.
 
20200731-pg5.png
 
Mục đích của dự án nghiên cứu đặc biệt này là để kiểm tra quy trình đánh giá các ứng dụng của Amazon cho Alexa Skills Store, một cổng web nơi người dùng truy cập để cài đặt ứng dụng cho thiết bị Alexa của họ.
 
Trong vài năm qua, các nhóm nghiên cứu không gặp khó khăn trong việc tải các ứng dụng độc hại lên cửa hàng chính thức này, nơi họ đã sử dụng để kiểm tra các thí nghiệm của mình.
 
Với mỗi dự án, các nhà nghiên cứu cảnh báo Amazon rằng quy trình đánh giá ứng dụng là chưa đủ chặt chẽ. Amazon hứa sẽ làm tốt hơn nhưng sau đó các nhà nghiên cứu vẫn có thể tải lên các ứng dụng độc hại.
 
Nhóm nghiên cứu đã thông tin một số lý do tại sao các ứng dụng xâm phạm chính sách lại lên được cửa hàng chính thức:
 
Sự không nhất quán trong kiểm tra - Các nhà nghiên cứu cho biết các ứng dụng khác nhau trong cùng một chính sách đã nhận được phản hồi khác nhau từ các nhà đánh giá, cho thấy rằng những người đánh giá không xem hoặc áp dụng các chính sách của Amazon theo cùng một cách trong quá trình gửi.
 
Kiểm tra giọng nói bị giới hạn - Người đánh giá đã kiểm tra giới hạn các lệnh thoại và mã của kỹ năng. Điều này cho phép các tác nhân đe dọa phát hành các ứng dụng độc hại lên cửa hàng chính thức chỉ bằng cách trì hoãn các phản ứng độc hại ban đầu, bỏ qua quy trình xem xét ngắn.
 
Quá tin cậy các nhà phát triển - Các nhà nghiên cứu cho biết Amazon dường như tin tưởng các nhà phát triển ứng dụng và sẽ phê duyệt các ứng dụng dựa trên câu trả lời mà các nhà phát triển cung cấp trong các biểu mẫu được gửi trong quá trình xem xét ứng dụng. Điều này cho phép các nhà nghiên cứu tuyên bố rằng ứng dụng của họ không thu thập thông tin người dùng, điều mà Amazon chưa bao giờ xác minh trong quá trình đánh giá thực tế.
 
Con người có liên quan đến chứng nhận - Nhóm nghiên cứu cho biết dựa trên sự không nhất quán trong các chứng nhận và từ chối ứng dụng khác nhau đã khiến họ tin rằng chứng chỉ ứng dụng chủ yếu dựa vào kiểm tra thủ công, vì một số vấn đề có thể được một số hệ thống tự động phát hiện.
 
Tiêu cực trong quá trình chứng nhận - Quá trình xem xét không đủ kỹ lưỡng để phát hiện các ứng dụng vi phạm chính sách rõ ràng.
 
Có khả năng thuê ngoài và không được thực hiện tại Mỹ - Dựa trên các dấu thời gian đánh giá ứng dụng, một số đánh giá dường như được thực hiện bởi những người nói tiếng Anh không phải là người bản xứ hoặc bởi những người đánh giá không quen thuộc với luật pháp Mỹ.
 
Các ứng dụng cho trẻ chưa được kiểm soát nghiêm ngặt
Sau khi tiến hành đưa các ứng dụng độc hại lên cửa hàng để nghiên cứu, nhóm nghiên cứu đã loại bỏ các ứng dụng này để tránh việc người dùng vô tình thấy và cài đặt trên thiết bị của họ.
 
Tuy nhiên, nhóm nghiên cứu cũng muốn biết liệu các ứng dụng xấu độc khác có xuất hiện trên cửa hàng Alexa trước đây không. Họ chọn 2.085 đánh giá tiêu cực từ các ứng dụng được liệt kê trong danh mục trẻ em và xác định 825 ứng dụng cho trẻ em đã được đăng.
 
"Thông qua thử nghiệm linh động 825 ứng dụng, chúng tôi đã xác định được 52 ứng dụng vi phạm chính sách và 51 ứng dụng bị lỗi trong danh mục trẻ em", các nhà nghiên cứu cho biết.
 
Trong số các ứng dụng này có các ứng dụng Alexa bị nghi ngờ là thu thập thông tin người dùng, các ứng dụng quảng cáo hoặc các ứng dụng được cho là được chi để đánh giá tích cực trên cửa hàng Alexa.
 
Amazon không đồng ý với kết quả nghiên cứu nhưng hứa làm tốt hơn
Trong một email, Amazon không đồng ý với kết quả của báo cáo, và thông tin thêm về các quy trình liên quan đến việc đánh giá các ứng dụng hướng đến trẻ em mà nhóm nghiên cứu không xem xét. Việc này bao gồm thẩm định bổ sung đối với các ứng dụng dành cho trẻ em được đưa lên cửa hàng chính thức. Một hệ thống giám sát ứng dụng sẽ quét các phản hồi ứng dụng về nội dung không phù hợp.
 
Do các ứng dụng "xấu" đã bị xóa ngay lập tức sau khi được thẩm định, tuy nhiên, việc tái thẩm định đã không diễn ra.
 
"Sự tin tưởng của khách hàng là ưu tiên hàng đầu của chúng tôi và chúng tôi thực hiện nghiêm túc các chính sách ứng dụng Alexa của mình", một phát ngôn viên của Amazon trao đổi với ZDNet.
 
Theo Amazon, họ liên tục cải tiến các cơ chế này và đã đưa ra các kiểm tra bổ sung để bảo vệ khách hàng.
 
Ngoài ra, nhóm nghiên cứu cũng đã tiến hành các thử nghiệm tương tự trên cửa hàng Google Assistant, nhưng kết quả cho thấy Google xử lý nó tốt hơn nhiều.
 
Các nhà nghiên cứu cho biết: "Mặc dù Google thực hiện tốt hơn trong quy trình xác nhận ứng dụng dựa trên phép đo sơ bộ của chúng tôi, nhưng nó vẫn chưa hoàn hảo và có những lỗ hổng có thể khai thác cần được thử nghiệm nhiều hơn trong tương lai".
 
"Tổng cộng, chúng tôi đã gửi tới 273 ứng dụng vi phạm chính sách được Amazon/Google yêu cầu và quan sát xem các ứng dụng có thể vượt qua thẩm định hay không. Kết quả, 116 trong số đó đã được phê duyệt. Chúng tôi cũng đã gửi 85 ứng dụng cho trẻ em và 15 ứng dụng được phê duyệt; các ứng dụng tiêu chí khác thì có 101 ứng dụng được phê duyệt trong số 188 ứng dụng", các nhà nghiên cứu cho biết thêm.
banner
icon

Cổng dịch vụ công
Quốc Gia

Những thông tin thủ tục hành chính
khai báo online tại đây

Xem chi tiết icon
icon

Chính sách
pháp luật Việt Nam

Cập nhật thông tin, chính sách
pháp luật Việt Nam

Xem chi tiết icon

Cổng thông tin điện tử của các đơn vị thuộc Bộ

Doanh nghiệp

Top