Alexa スキルでは、さまざまな追加機能が提供されます。これらを Amazon 音声アシスタントに簡単にダウンロードして、知識のギャップを自発的に埋めたり、毎日の計画を立てたりすることができます。しかし、どうやら音声コマンドの中には危険なものもあるようです。研究により、多数の欠陥が明らかになりました。
Alexa スキル: ここに問題があります
クリストファー・レンチュと博士が率いる科学者。 Martin Degeling 氏は、Amazon が運営するストアからダウンロードできる 90,194 個の Alexa スキルを研究で調査しました。これらは 7 か国から提供されており、Amazon 自体によって提供されたものではなく、外部プロバイダーによって開発されました。ルール大学ボーフム大学(RUB)のプレスリリースによると、研究者らは調査中に「安全に使用するには重大な欠陥」を発見したという。
「最初の問題は、Amazon が 2017 年以降、スキルを部分的に自動的に有効化していることです。以前は、ユーザーはすべてのスキルの使用に同意する必要がありました。 「現在、彼らはAlexaが与える答えがどこから来たのか、誰がそれをプログラムしたのかさえほとんど把握していません」と博士は言う。 RUB のシステム セキュリティ担当議長の Martin Degeling 氏は次のように述べています。
多くの場合、どの Alexa スキルが制御されているかも明確ではありません。たとえば、音声アシスタントに褒め言葉を求められた場合、31 の異なるプロバイダーから回答が得られ、そのプロバイダーが自動的に選択されます。選択は直接的には理解できません。ただし、データが意図せずに外部プロバイダーに転送される可能性があります。
Alexa スキル: 名前が間違っている、変更が遅れている
研究者らはこの調査で、Alexaのスキルが偽名で公開されており、ユーザーの機密データにアクセスできることを発見した。たとえば、誰かが注目を集めることなく、自動車会社の有名な名前を使用する可能性があります。これには次の理由から問題があります。
「有名な名前と Amazon に対するユーザーの信頼を悪用して、位置データやユーザーの行動などの個人情報にアクセスすることができます」と博士は説明します。マーティン・デゲリング。
Alexaのスキルはプロバイダーによって後から変更される可能性があることも危険です。 「しばらくすると、攻撃者は音声コマンドを再プログラムして、たとえばユーザーのクレジット カードの詳細を尋ねるようになる可能性があります」と、RUB の情報技術管理担当議長の Chrisopher Lentzsch 氏は述べています。
Amazonはこの研究についてこう述べています
RUBのプレスリリースによると、AmazonはAlexaスキルの一部の問題を研究チームに確認したという。同社はおそらく対策に取り組んでいるだろう。
実際、 Alexa スキルを自分でプログラミングすることで、Amazon Echo にまったく新しい機能を与えることができます。最も人気のある Alexa スキルは 2020 年末に公開されました。