Οι ανησυχίες για το απόρρητο είναι ευρέως διαδεδομένες για τις εφαρμογές φωνής Alexa και Βοηθού Google, σύμφωνα με τους ερευνητές

Οι ανησυχίες για το απόρρητο είναι ευρέως διαδεδομένες για τις εφαρμογές φωνής Alexa και Βοηθού Google, σύμφωνα με τους ερευνητές


Βοηθός Google είναι Amazon Alexa Οι πολιτικές απορρήτου της εφαρμογής Voice συχνά είναι “προβληματικές” και παραβιάζουν τις βασικές απαιτήσεις, α αυτή μελετάει συν-συγγραφέας της ερευνητικής σχολής Clemson College School of Computing. Το έργο, το οποίο δεν έχει ακόμη αξιολογηθεί από ομοτίμους, ανέλυσε δεκάδες χιλιάδες δεξιότητες σχετικά με τις ενέργειες της Alexa και του Βοηθού Google για τη μέτρηση της αποτελεσματικότητας των γνωστοποιήσεών τους στην πρακτική των δεδομένων. Οι ερευνητές περιγράφουν την τρέχουσα κατάσταση ως «ανησυχητική» και ισχυρίζονται ότι το Google και το Amazon συγκρούονται με τους τα δικά κανόνες για προγραμματιστές.

Εκατοντάδες εκατομμύρια άνθρωποι σε όλο τον κόσμο χρησιμοποιούν τον Βοηθό Google και την Alexa για παραγγελία προϊόντων, διαχείριση τραπεζικών λογαριασμών, ενημέρωση σχετικά με ειδήσεις και έλεγχο έξυπνων οικιακών συσκευών. Οι εφαρμογές φωνής (που ονομάζονται “δεξιότητες” του Amazon και οι “ενέργειες” της Google) επεκτείνουν τη λειτουργικότητα των πλατφορμών, σε ορισμένες περιπτώσεις χρησιμοποιώντας εργαλεία τρίτων. Ωστόσο, παρά τους κανονισμούς και τη νομοθεσία των καταστημάτων εφαρμογών που επιβάλλουν τη διαφάνεια των δεδομένων, οι προγραμματιστές είναι ασυνεπείς όταν πρόκειται για αποκάλυψη, διαπίστωσαν οι συν-συγγραφείς της μελέτης Clemson.

Για να προσδιορίσουν ποιες πολιτικές απορρήτου του Βοηθού Google και των προγραμματιστών εφαρμογών Alexa ήταν επαρκώς “ενημερωτικοί” και “σημαντικοί”, οι συν-συγγραφείς απορρίπτουν το περιεχόμενο των λιστών δεξιοτήτων και ενεργειών ιστού και πραγματοποίησαν μια ανάλυση για να αποκτήσουν τις πρακτικές που παρέχονται στις πολιτικές και στις περιγραφές. (Τόσο η Google όσο και η Amazon καθιστούν τις βιτρίνες εφαρμογών διαθέσιμες για τις πλατφόρμες φωνής τους στον ιστό.) Ανέπτυξαν μια προσέγγιση βασισμένη σε λέξεις-κλειδιά, αντλώντας από τη λίστα εξουσιοδοτήσεων του Amazon και τη συμφωνία υπηρεσιών προγραμματιστή για τη σύνταξη ενός λεξικού ονομάτων που σχετίζονται με πρακτικές δεδομένων. Δεδομένων των φράσεων που εξήχθησαν από την πολιτική και την περιγραφή μιας εφαρμογής, χρησιμοποίησαν ρήματα και ουσιαστικά (για παράδειγμα, “πρόσβαση”, “συλλογή”, “συλλογή”, “διεύθυνση”, “e mail”) για τον προσδιορισμό των φράσεων σχετικά, τα οποία επανεξέτασαν με μη αυτόματο τρόπο για να επαληθεύσουν την ακρίβειά τους.

Από συνολικά 64.720 μοναδικές δεξιότητες Alexa και 2.201 ενέργειες Βοηθού Google (όλες οι δεξιότητες και ενέργειες που μπορούν να συλλεχθούν μέσω της προσέγγισης της μελέτης), οι ερευνητές προσπάθησαν να εντοπίσουν τρεις τύπους προβληματικών πολιτικών:

  • Εκείνοι που δεν περιγράφουν πρακτικές δεδομένων.
  • Εκείνοι με ελλιπή κριτήρια (δηλαδή εφαρμογές που αναφέρουν τη συλλογή δεδομένων στις περιγραφές τους, αλλά των οποίων οι πολιτικές δεν υποβάλλονται σε επεξεργασία).
  • Λείπουν πολιτικές.

Οι ερευνητές αναφέρουν ότι 46.768 (72%) των δεξιοτήτων της Alexa και 234 (11%) των ενεργειών του Βοηθού Google δεν περιλαμβάνουν συνδέσμους πολιτικής και ότι 1.755 δεξιότητες και 80 δράσεις έχουν σπάσει συνδέσμους πολιτικής. (Σχεδόν 700 σύνδεσμοι οδηγούν σε άσχετες ιστοσελίδες με διαφημίσεις και 17 οδηγούν σε έγγραφα των Εγγράφων Google που δεν είναι δημόσια ορατά.) Η διχοτομία οφείλεται εν μέρει στην επιεική πολιτική του Amazon, η οποία σε αντίθεση με την Google δεν απαιτεί από τους προγραμματιστές να παρέχουν πολιτική εάν οι δεξιότητές τους δεν συλλέγουν προσωπικά στοιχεία. Ωστόσο, οι ερευνητές επισημαίνουν ότι οι δεξιότητες συλλογής πληροφοριών συχνά παρακάμπτουν την απαίτηση επιλέγοντας να μην την δηλώσουν κατά τη διαδικασία αυτόματης πιστοποίησης του Amazon.

Ένα σημαντικό μέρος των πολιτικών δεξιοτήτων και δράσεων μοιράζεται έναν σύνδεσμο προς την πολιτική απορρήτου (10.124 δεξιότητες και 239 δράσεις), με 3.205 δεξιότητες που μοιράζονται τους τρεις πρώτους διπλούς συνδέσμους. Το σφάλμα έγκειται στους εκδότες με πολλές εφαρμογές φωνής, αλλά αυτή η πρακτική καθίσταται προβληματική εάν σπάσει ένας από τους συνδέσμους. Οι ερευνητές ανακάλυψαν 217 δεξιότητες χρησιμοποιώντας τον ίδιο σπασμένο σύνδεσμο, καθώς και ενέργειες που συνδέονται με μια γενική πολιτική με ονόματα εταιρειών και διευθύνσεις, αλλά όχι ονόματα μετοχών, που απαιτούνται από την Google.

Δυστυχώς, οι ερευνητές κατηγορούν την Google και την Amazon για παραβίαση των απαιτήσεων πολιτικής εφαρμογών. Στο παρελθόν η Alexa απαιτεί θέσεις χρηστών, αλλά δεν παρέχει πολιτική απορρήτου, ενώ 101 ενέργειες που ανέπτυξε η Google δεν έχουν συνδέσμους προς τις πολιτικές απορρήτου. Επιπλέον, εννέα ενέργειες που ανέπτυξε η Google υποδεικνύουν δύο διαφορετικές γενικές πολιτικές απορρήτου, αγνοώντας την πολιτική της Google που απαιτεί από τις ενέργειες του Βοηθού Google να έχουν συγκεκριμένες πολιτικές για την εφαρμογή.

Όταν προσεγγίστηκε για σχόλιο, ένας εκπρόσωπος της Amazon παρείχε αυτή τη δήλωση μέσω email στο VentureBeat: «Απαιτούμε προγραμματιστές δεξιοτήτων που συλλέγουν προσωπικές πληροφορίες για να παρέχουν μια πολιτική απορρήτου, την οποία προβάλλουμε στη σελίδα λεπτομερειών δεξιοτήτων και για συλλέγουν και χρησιμοποιούν τέτοιες πληροφορίες σύμφωνα με την πολιτική απορρήτου τους και την ισχύουσα νομοθεσία. Εξετάζουμε προσεκτικά το έγγραφο και θα συνεχίσουμε να συνεργαζόμαστε με τους συγγραφείς για να κατανοήσουμε καλύτερα το έργο τους. Εκτιμούμε το έργο ανεξάρτητων ερευνητών που μας βοηθούν να φέρουμε υπόψη μας πιθανά προβλήματα. “

Ένας εκπρόσωπος της Google αρνήθηκε ότι οι ενέργειες της Google δεν σέβονται τις πολιτικές της και είπε ότι οι ενέργειες τρίτων με σπασμένες πολιτικές έχουν καταργηθεί καθώς η εταιρεία “συνεχώς” βελτιώνει τις διαδικασίες και τις τεχνολογίες της. «Έχουμε επαφή με έναν ερευνητή από το Πανεπιστήμιο Clemson και εκτιμήσαμε τη δέσμευσή τους για προστασία των καταναλωτών. Όλες οι ενέργειες … πρέπει να ακολουθούν τις πολιτικές προγραμματιστών μας και δεσμευόμαστε για οποιαδήποτε ενέργεια παραβιάζει αυτές τις πολιτικές. “

Πολιτική απορρήτου και περιεχόμενο

Στην έρευνά τους σχετικά με το περιεχόμενο της πολιτικής απορρήτου των εφαρμογών φωνής, οι ερευνητές διαπίστωσαν ότι οι περισσότεροι δεν καθόρισαν σαφώς τη συλλογή δεδομένων για την οποία ήταν ικανές οι εφαρμογές. Μόνο 3.233 δεξιότητες Alexa και 1.038 ενέργειες Βοηθού Google αναφέρουν ρητά δεξιότητες ή ονόματα ενεργειών, αντίστοιχα, και ορισμένες πολιτικές απορρήτου για τις δεξιότητες των παιδιών αναφέρουν ότι οι δεξιότητες θα μπορούσαν να συλλέξουν προσωπικά στοιχεία. Στην πραγματικότητα, 137 δεξιότητες στην κατηγορία παιδιών της Alexa αποκαλύπτουν ότι η συλλογή δεδομένων ενδέχεται να συμβεί, αλλά παρέχουν μόνο μια γενική πολιτική, η οποία παραβιάζει τις απαιτήσεις απορρήτου Alexa του Amazon για τις δεξιότητες των παιδιών.

Ακόμη πιο ανησυχητικό, οι ερευνητές εντόπισαν 50 δεξιότητες Alexa που δεν ενημερώνουν τους χρήστες για το τι συμβαίνει σε πληροφορίες όπως διευθύνσεις electronic mail, κωδικούς πρόσβασης λογαριασμού, ονόματα, γενέθλια, τοποθεσίες, αριθμούς τηλεφώνου, δεδομένα υγείας και σεξ ή με ποιος κοινοποιείται η πληροφορία. Άλλες αρμοδιότητες παραβιάζουν δυνητικά κανονισμούς, όπως ο νόμος για την προστασία της ιδιωτικής ζωής των παιδιών στο Διαδίκτυο (COPPA), ο νόμος φορητότητας και ευθύνης για την ασφάλιση υγείας (HIPAA) και ο νόμος για την προστασία της ιδιωτικής ζωής στην Καλιφόρνια (CalOPPA) συλλέγοντας προσωπικές πληροφορίες χωρίς παροχή πολιτικής.

Εκτός από την απουσία πολιτικών, οι ερευνητές αμφισβητούν τα μήκη και τις μορφές των σχετικών πολιτικών. Πάνω από το ήμισυ (58%) των πολιτικών δεξιοτήτων και δράσεων είναι μεγαλύτερες από 1.500 λέξεις και καμία δεν είναι διαθέσιμη μέσω της Alexa ή του Βοηθού Google. Αντ ‘αυτού, πρέπει να προβληθούν από μια ιστοσελίδα καταστήματος ή από μια εφαρμογή smartphone.

“Το Amazon Alexa και ο Βοηθός Google που δεν απαιτούν ρητά πολιτικές απορρήτου για συγκεκριμένες εφαρμογές οδηγούν τους προγραμματιστές να παρέχουν το ίδιο έγγραφο που εξηγεί τις πρακτικές δεδομένων όλων των υπηρεσιών τους. Αυτό οδηγεί σε αβεβαιότητα και σύγχυση μεταξύ των τελικών χρηστών … Τα διαθέσιμα έγγραφα δεν παρέχουν επαρκή κατανόηση της ικανότητας των δεξιοτήτων για τους τελικούς χρήστες “, έγραψαν οι συν-συγγραφείς. “Σε ορισμένες περιπτώσεις, ακόμη και αν ο προγραμματιστής γράφει τη δήλωση απορρήτου με τις κατάλληλες προθέσεις και φροντίδα, ενδέχεται να υπάρχουν κάποιες αποκλίσεις μεταξύ της δήλωσης και του πραγματικού κώδικα. Οι ενημερώσεις που έγιναν στη δεξιότητα ενδέχεται να μην αντικατοπτρίζονται στην πολιτική απορρήτου “

Οι ερευνητές προτείνουν μια λύση με ενσωματωμένη πρόθεση που παίρνει το μοντέλο αλληλεπίδρασης μιας εφαρμογής φωνής και σαρώνει τις δυνατότητες συλλογής δεδομένων, δημιουργώντας μια απόκριση που ειδοποιεί τους χρήστες ότι η ικανότητα έχει αυτές τις συγκεκριμένες ικανότητες. Η πρόθεση θα μπορούσε να γίνει επίκληση όταν η εφαρμογή είναι ενεργοποιημένη για πρώτη φορά, λένε, έτσι ώστε η σύντομη δήλωση απορρήτου να μπορεί να διαβαστεί δυνατά στους χρήστες. Αυτή η πρόθεση θα μπορούσε επίσης να συμβουλεύει τους χρήστες να επανεξετάσουν μια λεπτομερή πολιτική που παρέχουν οι προγραμματιστές.

«Αυτό θα παρέχει στον χρήστη καλύτερη κατανόηση για το τι ικανότητα έχει μόλις συλλέξει και χρησιμοποιήσει. Οι χρήστες μπορεί επίσης να ζητήσουν να επικαλεστούν αυτήν την πρόθεση αργότερα για να αποκτήσουν μια σύντομη έκδοση της πολιτικής απορρήτου, “συνέχισαν οι συν-συγγραφείς.” Στη μελλοντική μας εργασία, σκοπεύουμε να επεκτείνουμε αυτήν την προσέγγιση για να βοηθήσουμε τους προγραμματιστές να δημιουργήσουν αυτόματα πολιτικές απορρήτου. για τις εφαρμογές φωνής τους. “



[via]

Απάντηση

Αυτός ο ιστότοπος χρησιμοποιεί το Akismet για να μειώσει τα ανεπιθύμητα σχόλια. Μάθετε πώς υφίστανται επεξεργασία τα δεδομένα των σχολίων σας.