研究人员称Alexa和谷歌助理语音应用的隐私问题普遍存在

发布时间:2020-07-31 15:05:15 【来源:

克莱姆森大学计算机学院研究人员合着的一项研究表明,谷歌助手和亚马逊Alexa语音应用程序的隐私策略通常是“有问题的”,并且违反了基线要求。这项工作尚未经过同行评审,它分析了数以万计的Alexa技能和Google Assistant行为,以衡量其数据实践披露的有效性。研究人员将当前状况描述为“令人担忧”,并声称Google和Amazon违反了他们自己的开发人员规则。

全球有成千上万的人使用Google Assistant和Alexa订购产品,管理银行帐户,掌握新闻并控制智能家居设备。语音应用程序(亚马逊将其称为“技能”,谷歌将其称为“动作”)扩展了平台的功能,在某些情况下还利用了第三方工具。克莱姆森研究的共同作者发现,尽管有应用商店的法规和法规要求数据透明,但开发人员在披露方面并不一致。

为了确定哪些Google Assistant和Alexa应用程序开发人员的隐私政策足够“丰富”和“有意义”,合著者抓取了技能和操作网络列表的内容,并进行了分析以捕获政策和说明中提供的做法。(Google和Amazon都在网络上为其语音平台提供了应用程序店面。)他们开发了一种基于关键字的方法,利用Amazon的技能许可列表和开发人员服务协议来编译与数据实践相关的名词词典。给定从应用程序的策略和描述中提取的短语,他们使用动词和名词(例如,“访问”,“收集”,“收集”,“地址”,“电子邮件”)来发现相关短语,并对其进行人工审核以确保准确性。

在总共64,720项Alexa独特技能和2,201项Google Assistant行为(通过研究方法可抓取的每项技能和行为)中,研究人员试图找出三种有问题的政策:

那些没有概述数据实践的方法。

那些政策不完整的用户(例如,描述中提及数据收集但政策不详细说明的应用)。

缺少政策。

研究人员报告说,Alexa技能中的46,768(72%)和Google Assistant行为中的234(11%)不包含策略链接,并且1,755技能和80行为破坏了策略链接。(将近700个链接指向不相关的带有广告的网页,而17个链接则导致无法公开查看的Google Docs文档。)二分法部分归因于亚马逊的宽松政策,与Google的宽松政策不同,Google不要求开发人员提供政策,前提是技能不会收集个人信息。但是研究人员指出,收集信息的技能通常会绕过要求,选择在亚马逊的自动认证过程中不声明它。

大部分技能和操作策略共享一个隐私策略链接(10,124个技能和239个操作),其中3,205个技能共享前三个重复的链接。拥有多个语音应用程序的发布者应该受到指责,但是如果其中一个链接中断,这种做法就会成问题。研究人员发现217个技能使用了相同的断开链接,以及使用通用名称和地址链接到公司的通用策略的操作,而没有使用Google要求的操作名称。

令人遗憾的是,研究人员指责谷歌和亚马逊违反了自己对应用程序政策的要求。Alexa的一项官方气象技巧会询问用户的位置,但未提供隐私权政策,而Google开发的101种操作缺少与隐私权政策的链接。此外,由Google开发的9个操作指向两项不同的通用隐私政策,而无视Google的政策要求Google Assistant操作必须具有针对特定应用的政策。

当收到评论时,亚马逊发言人通过电子邮件向VentureBeat提供了此声明:“我们要求收集个人信息的技能开发人员提供隐私政策,我们将在其详细信息页面上显示该隐私政策,并按照法规收集和使用该信息。以及他们的隐私政策和适用法律。我们正在仔细审查论文,我们将继续与作者互动,以进一步了解他们的工作。我们感谢独立研究人员的工作,他们帮助我们引起了潜在的问题。”

谷歌发言人否认谷歌的行为不遵守其政策,并说随着公司“不断”增强其流程和技术,第三方政策遭到破坏的行为已被删除。“我们一直与克莱姆森大学的研究人员保持联系,并赞赏他们在保护消费者方面的承诺。所有行动……都必须遵守我们的开发者政策,我们将对违反这些政策的任何行动进行强制执行。”

隐私政策的内容和可读性

在对语音应用程序隐私策略内容的调查中,研究人员发现,大部分内容并未明确定义应用程序能够进行哪些数据收集。分别只有3,233个Alexa技能和1,038个Google Assistant动作明确提到了技能或动作名称,而一些针对儿童技能的隐私权政策也提到了这些技能可以收集个人信息。实际上,Alexa的儿童类别中有137个技能表明可以进行数据收集,但仅提供了一般政策,这违反了亚马逊对儿童技能的Alexa隐私要求。

更令人不安的是,研究人员发现了50种Alexa技能,它们无法告知用户电子邮件地址,帐户密码,姓名,生日,位置,电话号码,健康数据和性别等信息发生了什么,或与谁共享信息。其他技能可能会在未提供政策的情况下收集个人信息,从而违反了《儿童在线隐私保护法》(COPPA),《健康保险携带和责任法案》(HIPAA)和《加利福尼亚在线隐私保护法》(CalOPPA)等法规。

除了缺乏政策外,研究人员还对政策的长度和格式产生了疑问。超过一半(58%)的技能和操作政策的长度超过1500个单词,而Alexa或Google Assistant本身都无法使用;相反,必须从商店网页或智能手机配套应用中查看它们。

“ Amazon Alexa和Google Assistant并未明确要求特定于应用程序的隐私权政策,这导致开发人员提供了同一文档来解释其所有服务的数据实践。这导致最终用户之间的不确定性和混乱……可用的文档无法正确理解最终用户的技能能力。”合著者写道。“在某些情况下,即使开发人员以适当的意图和谨慎来编写隐私策略,该策略与实际代码之间也会存在一些差异。对这项技能所做的更新可能不会反映在隐私权政策中。”

研究人员提出了一种内置意图的解决方案,该解决方案采用语音应用程序的交互模型并扫描数据收集功能,创建响应以通知用户该技能具有这些特定功能。他们说,可以在首次启用该应用程序时调用该意图,因此可以向用户大声朗读简短的隐私声明。此意图还可以建议用户查看开发人员提供的详细策略。

“这将使用户更好地了解他/她刚刚能够收集和使用的技能。用户还可以稍后要求调用此意图,以获取隐私政策的简要版本。”合著者继续说道。“在未来的工作中,我们计划扩展这种方法,以帮助开发人员自动为其语音应用程序生成隐私策略。”

中国联通:已累计开通5G基站33.2万站 到今年年底预计超过38万个
饿了么现已入驻1000所高校食堂 校园内平均20分钟送达
谷歌在西雅图附近规划新园区 在亚马逊和微软总部所在地扩大触角
我国国家顶级域名“.CN”数量超过2300万个 IPv6规模化部署提速
邬贺铨:截至8月我国IPv6活跃用户达3.65亿 占互联网用户之比达40.32%
苹果、谷歌、英特尔等公司已经加入行业组织美国“6G联盟”
微软今天正式终止Win7嵌入式系统支持 花钱可买三年补丁
OPPO将发布首款概念级应用OPPO CybeReal 针对AR领域

[ 最新资讯 ]

始祖鸟之家双面派对,设计师系列惊艳亮相

  11月24日,被誉为户外爱马仕的始祖鸟(ARC’TERYX)全新概念店——始祖鸟之家在全国顶级商圈北京国贸开业了。现场门店实拍图片   ...

曝小米显示器34寸本月最后一单出货后将暂停供应 因三星无屏供应原因

  本月初,视讯堂消息称小米的 34 寸带鱼屏显示器型号,之后可能无法再保持 1999 元的价格进行销售。今天,视讯堂发布最新消息,称小 ...

微星Stealth 15M超轻游戏本纯净白即将上架 屏幕为15.6英寸

  根据微星笔记本官方的消息,微星 Stealth 15M (纯净白)即将上架预约,这款笔记本是首款采用 11 代低压酷睿 + RTX 2060 配置的 ...

EG7今天宣布收购《机甲战士5》开发商Piranha Games 增加其游戏公司种类

  Enad Global 7(EG7)今天(11 27)宣布收购《机甲战士5》开发商Piranha Games,增加了其游戏公司的种类。  EG7已同意以2410万美元的 ...

华米将推出GTS 2 mini手表:将于12月1日发布 外观更轻薄更精致

  根据华米创始人黄汪的消息,华米将推出 GTS 2 mini 手表,外观更轻薄更精致。    根据华米微博的消息, GTS 2 mini 手表将 ...

冬季必看的小黑裤穿搭指南|九牧王男裤专家

  伴随着秋冬而来的除了购物欲还有穿搭热情,但如果你正苦于衣服少、缺乏穿搭灵感,那么,一条百搭、舒适的九牧王小黑裤,或许可以帮到你,只 ...