Según los investigadores, los problemas de privacidad con Alexa y las aplicaciones de voz de Google Assistant son comunes


Las políticas de privacidad de Google Assistant y Amazon Alexa para aplicaciones de voz a menudo son "problemáticas" y violan los requisitos básicos, según un estudio realizado por investigadores de la Facultad de Informática de la Universidad de Clemson. En el trabajo, que aún no ha sido revisado por expertos, se analizaron decenas de miles de conocimientos de Alexa y acciones del Asistente de Google para medir la efectividad de su información de práctica de datos. Los investigadores caracterizan el estado actual de las cosas como "preocupante" y afirman que Google y Amazon violan sus propias reglas de desarrollo .

Cientos de millones de personas en todo el mundo usan Google Assistant y Alexa para ordenar productos, administrar cuentas bancarias, averiguar qué hay de nuevo y controlar dispositivos domésticos inteligentes. Las aplicaciones de voz (llamadas "habilidades" de Amazon y "acciones" de Google) amplían la funcionalidad de las plataformas, en algunos casos al acceder a herramientas de terceros. A pesar de las regulaciones y leyes en la App Store que dictan la transparencia de los datos, los desarrolladores son inconsistentes en términos de divulgación, encontraron los coautores del estudio de Clemson.

Para determinar qué pautas de protección de datos de los desarrolladores de aplicaciones de Google Assistant y Alexa fueron suficientemente informativas "y" significativas ", los coautores eliminaron el contenido de las listas web de habilidades y acciones y llevaron a cabo un análisis para encontrar las pautas y descripciones prácticas (tanto Google como Amazon proporcionan los escaparates de aplicaciones para sus plataformas de idiomas en Internet). Desarrollaron un enfoque basado en palabras clave que se basó en la lista de capacidades de Amazon y el acuerdo con los servicios de desarrollador para crear un diccionario con sustantivos para crear prácticas relacionadas con los datos. Dadas las frases extraídas de las políticas y la descripción de una aplicación, utilizaron verbos y sustantivos (por ejemplo, "acceso", "recopilar", "recopilar", "dirección" "," E-Mail ") para reconocer frases relevantes que verificaron manualmente para su corrección

B Con un total de 64,720 habilidades únicas de Alexa y 2,201 acciones del Asistente de Google (cada habilidad y acción que se puede capturar a través del enfoque del estudio), los investigadores buscaron tres tipos de pautas problemáticas:

  • Aquellos que no contenían prácticas de datos.
  • Aquellos con pautas incompletas (es decir, aplicaciones que mencionan la recopilación de datos en sus descripciones, pero cuyas pautas no se explican con más detalle).
  • Faltan pautas.

Los investigadores informan que 46,768 (72%) de las habilidades de Alexa y 234 (11%) de las acciones del Asistente de Google no contienen enlaces de políticas. 1.755 habilidades y 80 acciones contienen enlaces de política rotos. (Casi 700 enlaces conducen a sitios web no relacionados con publicidad, y 17 conducen a Google Docs que no son visibles públicamente). La división se debe en parte a la política moderada de Amazon, que a diferencia de Google, no alienta a los desarrolladores Las habilidades no recopilan información personal para proporcionar una política. Sin embargo, los investigadores señalan que las habilidades que recopilan información a menudo eluden el requisito al elegir no declararlo durante el proceso de certificación automatizado de Amazon.

Una parte sustancial de las pautas de habilidades y acciones comparten un enlace a las políticas de privacidad (10,124 habilidades y 239 acciones), con 3,205 habilidades compartiendo los tres enlaces duplicados principales. Los editores con aplicaciones en varios idiomas tienen la culpa, pero esta práctica se vuelve problemática si uno de los enlaces está roto. Los investigadores encontraron 217 habilidades que usaban el mismo enlace roto, así como acciones asociadas con una política genérica con nombres y direcciones de empresas, pero no nombres de acciones que Google necesitaba.

Maldición, los investigadores acusan a Google y Amazon de violar sus propios requisitos con respecto a las políticas de aplicaciones. Una capacidad oficial de Weather Alexa solicita las ubicaciones de los usuarios, pero no ofrece una política de privacidad, mientras que 101 acciones desarrolladas por Google no incluyen enlaces a políticas de privacidad. Además, nueve acciones desarrolladas por Google se refieren a dos políticas de privacidad generales diferentes, y las políticas de Google requieren acciones del Asistente de Google sin tener en cuenta las políticas específicas de la aplicación.

Cuando un portavoz de Amazon buscó un comentario, envió esta declaración por correo electrónico a VentureBeat: "Necesitamos desarrolladores de habilidades que recopilen información personal para proporcionar una política de privacidad que mostramos en la página de detalles de habilidades, y para recopilar y usar esta información de acuerdo con su política de privacidad y las leyes aplicables. Estamos revisando el documento detenidamente y continuaremos trabajando con los autores para obtener más información sobre su trabajo. Apreciamos el trabajo de investigadores independientes que nos alertan sobre posibles problemas.

Un portavoz de Google negó que las acciones de Google no cumplieran con las pautas y dijo que las acciones de terceros con políticas incorrectas de la compañía fueron eliminadas. continuamente “mejora sus procesos y tecnologías. "Contactamos a un investigador de la Universidad de Clemson y apreciamos su compromiso con la protección del consumidor. Todas las acciones … deben cumplir con nuestras pautas para desarrolladores, y prevaleceremos contra cualquier medida que viole estas pautas. "

Contenido y legibilidad de las pautas de protección de datos

En su encuesta sobre el contenido de las pautas de protección de datos para aplicaciones de voz, los investigadores descubrieron que la mayoría no lo hizo. No está claramente definido de qué recopilación de datos eran capaces las aplicaciones. Solo 3.233 habilidades de Alexa y 1.038 acciones del Asistente de Google mencionan explícitamente habilidades o nombres de acciones, y algunas pautas de privacidad de habilidades infantiles mencionan que las habilidades podrían recopilar información personal. De hecho, 137 habilidades de los niños en la categoría Alexa revelan que la recopilación de datos podría llevarse a cabo, pero es solo una pauta general que viola los requisitos de protección de datos Alexa de Amazon para las habilidades de los niños.

Aún más preocupante es que los investigadores identificaron 50 habilidades de Alexa que no le decían a los usuarios qué hacer con información como direcciones de correo electrónico, contraseñas de cuentas, nombres, cumpleaños, ubicaciones, números de teléfono, información de salud y género, o quién La información es compartida. Otras habilidades pueden violar las regulaciones, incluida la Ley de protección de la privacidad en línea del niño (COPPA), la Ley de responsabilidad y portabilidad del seguro médico (HIPAA) y la Ley de protección de la privacidad en línea del niño (CalOPPA) por: recopilar datos personales sin especificar una política.

Más allá de la ausencia Con las pautas, los investigadores cuestionan la longitud y el formato de las pautas vinculadas. Más de la mitad (58%) de las pautas para habilidades y acciones tienen más de 1,500 palabras y ninguna está disponible a través de Alexa o el Asistente de Google. En cambio, deben verse desde el sitio web de la tienda o la aplicación complementaria de teléfonos inteligentes.

"Amazon Alexa y el Asistente de Google, que no requieren políticas explícitas de privacidad específicas de la aplicación, hacen que los desarrolladores proporcionen el mismo documento que explica las prácticas de datos de todos sus servicios. Esto crea incertidumbre y confusión entre los usuarios finales … Los documentos disponibles no les dan a los usuarios finales una comprensión adecuada de las capacidades de la habilidad ”, escribieron los coautores. “En algunos casos, puede haber discrepancias entre la política y el código real, incluso si el desarrollador escribe la política de privacidad con la intención y el cuidado correctos. Las actualizaciones de habilidades pueden no reflejarse en la política de privacidad. "

Los investigadores proponen una solución integrada que utiliza el modelo de interacción de una aplicación de voz y busca características de recopilación de datos y crea una respuesta que notifica a los usuarios. La capacidad tiene estas capacidades específicas. Se puede llamar la intención cuando la aplicación se activa por primera vez para que la breve política de privacidad se pueda leer a los usuarios. Esta intención también podría aconsejar a los usuarios que observen una política detallada proporcionada por los desarrolladores.

“Esto le da al usuario una mejor comprensión de las habilidades que está activando y usando actualmente. Los usuarios también pueden llamar a esta intención más adelante para obtener una versión corta de la política de privacidad ”, continuaron los coautores. "Como trabajo futuro, planeamos extender este enfoque para ayudar a los desarrolladores a generar automáticamente políticas de privacidad para sus aplicaciones de voz".

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *