MG线上电子游戏学网络安全研究员揭示虚拟助手的风险

虚拟助手让我们的生活更轻松——但它们安全吗?

为了寻找这个问题的答案，桑查里·达斯， 计算机科学助理教授 in the 里奇工程与计算机科学学院, examined 广泛使用的虚拟助理(VA)应用程序，并发现了一些有关安全和隐私的做法，可能会将用户的私人数据暴露给恶意行为者. 她与研究实习生博尔纳·卡尔霍尔(Borna Kalhor)共同撰写的论文获得了美国国际学术会议的最佳论文奖 2024 信息系统安全和隐私国际会议.

随着VA应用程序变得越来越普遍，并扩展了它们处理复杂任务的能力, Das想知道应用程序可以访问多少用户数据，以及用户必须提供多少权限. Das, 谁有以用户为中心的隐私和安全研究的背景, 调查了8个最受欢迎的安卓手机VAs, 包括谷歌助手, Amazon Alexa, 微软小娜等. “他们收集了大量数据, 通常使用虚拟助手的人并没有意识到这一点,” she says.

通过检查每个应用程序的底层代码和函数, Das发现了几个相关的漏洞, including the use of weak encryption methods; non-SSL (Secure Sockets Layer) certificates, providing an avenue for DNS hijacking attacks; and executing raw SQL queries, 可能允许SQL注入攻击. 过去，类似的攻击导致了许多行业的重大网络安全事件. Das和她的学生还在模拟环境中手动测试了每个应用程序. 她说:“我们调查了用户要求提供的数据类型，以及我们如何保护这些数据。.

数据处理不当, 加密和身份验证实践并不是唯一值得注意的发现, Das says. 虚拟助手提供的许多有用功能, 比如用语音命令发短信, 播放或停止音乐, 或者通过谷歌或苹果地图导航, 需要从他们运行的设备访问信息——通常在用户不知情的情况下，为恶意行为者提供了另一个潜在的利用途径.

在VA的几个应用程序中还出现了跟踪器——应用程序中内置的收集数据的工具. Some are useful, Das notes, 报告崩溃和bug, 而其他追踪器则收集用户与应用程序的互动信息，甚至是位置信息. 虽然追踪器可以帮助提高应用程序的性能和实用性, 它们还可以用来预测用户的行为并提供有针对性的广告. 达斯说，收集的个人信息可能被恶意利用. “有识别细节和分析细节. 我们在前面已经看到，分析信息确实令人担忧, 在种族和其他方面也是如此.”

限制个人数据的脆弱性并不像选择不使用虚拟网关那么简单, 大多数智能手机和电脑都预装了这些应用程序, 通常没有完全移除它们的选项. 虽然一些数据收集应用程序提供了限制收集数据的方法, 它们通常要求用户选择退出, 而不是选择允许他们的数据被收集和使用.

修补代码中的漏洞只是解决VA软件中存在的安全和隐私问题的开始. 比如欧盟的《MG线上电子游戏》, 科罗拉多隐私法, 近年来，几项全州范围的数据隐私法已经生效, 限制数据的收集和使用方式. According to Das, 承载应用程序的平台, 比如Google Play Store, 在不允许分发不安全和不安全的应用程序方面是否也可以更严格, 因此，“用户甚至不会把他们的数据置于危险之中.”

一个主要的组成部分, Das says, 确保用户能够做出明智的决定，并要求用户选择加入而不是选择退出数据收集. 向用户传达安全和隐私漏洞的含义, 不管他们的技术知识如何, is no easy task, 但是，该领域的研究人员正在努力开发一种方法，为每个应用程序明确指出安全评分, 比如食品上的营养标签.

Das is 继续研究应用程序如何收集和使用用户数据, 以及它们带来的风险, 但计划将研究范围扩大到虚拟助手之外.  The goal, she says, 是否正在开发一个框架来自动确定安全性和隐私漏洞，以便软件发布者, individual users, 组织用户都知道风险，可以做出更明智的决定.