正规赌博十大平台排行学网络安全研究员揭示虚拟助手的风险

虚拟助手让我们的生活更轻松——但它们安全吗?

为了寻找这个问题的答案，桑查里·达斯， 计算机科学助理教授 在 里奇工程与计算机科学学院, 检查 广泛使用的虚拟助理(VA)应用程序，并发现了一些有关安全和隐私的做法，可能会将用户的私人数据暴露给恶意行为者. 她与研究实习生博尔纳·卡尔霍尔(Borna Kalhor)共同撰写的论文获得了美国国际学术会议的最佳论文奖 2024 信息系统安全和隐私国际会议.

随着VA应用程序变得越来越普遍，并扩展了它们处理复杂任务的能力, 达斯想知道应用程序可以访问多少用户数据，以及用户必须提供多少权限. 达斯, 谁有以用户为中心的隐私和安全研究的背景, 调查了8个最受欢迎的安卓手机VAs, 包括谷歌助手, 亚马逊Alexa, 微软小娜等. “他们收集了大量数据, 通常使用虚拟助手的人并没有意识到这一点,她说。.

通过检查每个应用程序的底层代码和函数, 达斯发现了几个相关的漏洞, including the use of weak encryption methods; non-SSL (Secure Sockets Layer) certificates, providing an avenue for DNS hijacking attacks; 和 executing raw SQL queries, 可能允许SQL注入攻击. 过去，类似的攻击导致了许多行业的重大网络安全事件. 达斯和她的学生还在模拟环境中手动测试了每个应用程序. 她说:“我们调查了用户要求提供的数据类型，以及我们如何保护这些数据。.

数据处理不当, 加密和身份验证实践并不是唯一值得注意的发现, 达斯说. 虚拟助手提供的许多有用功能, 比如用语音命令发短信, 播放或停止音乐, 或者通过谷歌或苹果地图导航, 需要从他们运行的设备访问信息——通常在用户不知情的情况下，为恶意行为者提供了另一个潜在的利用途径.

在VA的几个应用程序中还出现了跟踪器——应用程序中内置的收集数据的工具. 有些是有用的, 达斯的笔记, 报告崩溃和bug, 而其他追踪器则收集用户与应用程序的互动信息，甚至是位置信息. 虽然追踪器可以帮助提高应用程序的性能和实用性, 它们还可以用来预测用户的行为并提供有针对性的广告. 达斯说，收集的个人信息可能被恶意利用. “有识别细节和分析细节. 我们在前面已经看到，分析信息确实令人担忧, 在种族和其他方面也是如此.”

限制个人数据的脆弱性并不像选择不使用虚拟网关那么简单, 大多数智能手机和电脑都预装了这些应用程序, 通常没有完全移除它们的选项. 虽然一些数据收集应用程序提供了限制收集数据的方法, 它们通常要求用户选择退出, 而不是选择允许他们的数据被收集和使用.

修补代码中的漏洞只是解决VA软件中存在的安全和隐私问题的开始. 比如欧盟的《正规赌博十大平台排行》, 科罗拉多隐私法, 近年来，几项全州范围的数据隐私法已经生效, 限制数据的收集和使用方式. 据达斯说, 承载应用程序的平台, 比如Google Play Store, 在不允许分发不安全和不安全的应用程序方面是否也可以更严格, 因此，“用户甚至不会把他们的数据置于危险之中.”

一个主要的组成部分, 达斯说, 确保用户能够做出明智的决定，并要求用户选择加入而不是选择退出数据收集. 向用户传达安全和隐私漏洞的含义, 不管他们的技术知识如何, 这不是一件容易的事, 但是，该领域的研究人员正在努力开发一种方法，为每个应用程序明确指出安全评分, 比如食品上的营养标签.

达斯是 继续研究应用程序如何收集和使用用户数据, 以及它们带来的风险, 但计划将研究范围扩大到虚拟助手之外.  我们的目标, 她说, 是否正在开发一个框架来自动确定安全性和隐私漏洞，以便软件发布者, 个人用户, 组织用户都知道风险，可以做出更明智的决定.