Alarm bei Alexa: Forscher konnten in einem Test über 200 sogenannte Skills (Funktionen) bei Amazon einreichen, die eigentlich verboten sind. Warum haben die Kontrollen versagt?

Sprachassistent Skills
Karsten Neglia / shutterstock.com

Amazons digitale Assistentin Alexa lernt immer mehr neue Funktionen und soll künftig nicht nur im E-Commerce, sondern etwa auch im Gesundheitsbereich eine wichtige Rolle spielen. Umso wichtiger ist es, dass die sogenannten Skills, die von Entwicklern und Unternehmen eingereicht werden können, den Vorgaben entsprechen. Forscher haben den Skill-Marktplatz von Amazons Alexa getestet – mit alarmierendem Ergebnis.

Test: 234 verbotene Skills schaffen es auf die Alexa-Plattform

Die Forscher des VPA Security Lab haben laut ZDnet über ein Jahr hinweg getestet, wie das Einreichen von Skills für Alexa funktioniert und wie Amazon die Vorschläge prüft. Das Ergebnis würde Alexa wohl sprachlos machen: Die Experten konnten schon beim jeweils ersten Einreichen 193 Skills auf dem entsprechenden Marktplatz unterbringen – obwohl diese bewusst gegen die Richtlinien verstoßen. Insgesamt haben die Skill-Tester sogar 234 unerlaubte Alexa-Funktionen eingeschmuggelt, darunter auch Skills für Kinder. Die Forscher haben die kritischen Skills nach erfolgreichem Einreichen und dem Abschluss des Tests selbst wieder gelöscht.

Die von den Forschern eigens entwickelten Test-Skills sammelten etwa unerlaubt Nutzerdaten, blendeten Werbung ein oder lieferten Antworten auf mögliche Nutzerfragen, die Amazon eigentlich verboten hat. Von den eingeschleusten Skills für Kinder hätte einer sogar Infos über Drogen geben können, ein anderer Alexa-Skill hätte Minderjährige nach ihrem Namen gefragt.

Wie konnten die manipulierten Skills auf den Alexa-Marktplatz gelangen? Laut den Testern gibt es mehrere Gründe für das Versagen der Kontrollen:

 

  1. Vermutlich wenden die verantwortlichen Mitarbeiter bei Amazon die nötigen Vorgaben unterschiedlich an. Möglicherweise prüfen auch Mitarbeiter außerhalb der USA, die nicht englische Muttersprachler seien, die Skills.

  2. Die im Code eines Skills eingetragenen Sprachbefehle und auch die Angaben in Formularen würden generell unzureichend kontrolliert.

Das sagt Amazon zu dem Alexa-Skill-Test

Amazon wies die Vorwürfe der Skill-Tester zurück. Die Tester hätten bestimmte zusätzliche Prozesse, die etwa bei der Prüfung von Skills für Kinder angewendet würden, nicht berücksichtigt. 

Die Forscher machen außerdem Vorschläge, wie Anbieter von Sprachassistenten generell das Vertrauen der Nutzer in Alexa und Co stärken können. Dazu gehört unter anderem ein kontinuierlicher Zertifizierungs-/Überprüfungsprozess bei jeder Änderung am Front-End oder Back-End und die Entwicklung eines sprachbasierten Testwerkzeugs für die Prüfung.

/
Geschrieben von Markus Gärtner




Kommentar schreiben

Sicherheitscode
Captcha aktualisieren