亚马逊Alexa，Google Home On Collision Course with Regulation

要直接下载播客，请单击此处。

以下是播客的轻微编辑记录 。

Lindsey O'Donnell ：欢迎来到Threatpost播客。 这是Lindsey O'Donnell与Threatpost。 今天我和Tim Mackey在这里。 Tim是Synopsys网络安全研究中心的首席安全策略师。 蒂姆，非常感谢今天加入我们。

蒂姆麦基 ：你很受欢迎，林赛。 实际上，我们在今天的所有讨论中都设法让自己成为一个真正美好的一天。

LO ：一次，如果不是有点太热，但是夏天，所以你必须期待它。

TM ：我喜欢太阳的一部分。

LO ：没错。 所以今天我想聊聊一个非常受欢迎的主题。 这就是Amazon Echo设备，Google Home，Apple HomePod等语音助手，它们在家庭中越来越受欢迎。 我不知道你，蒂姆，我不知道你是否有这些设备之一。 但完全披露，我家周围有多个Amazon Echoes。 所以你知道，每天必须阅读甚至写关于这些隐私和安全新闻的故事，这些都让我想把它扔进垃圾桶。

TM ：是的，但对我来说，我实际上并没有。 由于她的担忧，我的女朋友已经有效地禁止了它。 我的大哥，她在大学时有一个，她只是喜欢这个设备。 所以这是一个混合的家庭。

LO ：对。 我觉得我肯定可以肯定地看到这些设备的优点。 但我觉得有很多问题正在被提出关于收集了多少数据，具体是什么数据，以及它被保留多久以及谁访问它。 所以，蒂姆，我的意思是，在你的结尾，你会说你现在对语音助理数据隐私的一些最关注的问题，无论是一般的语音助理，还是特别是任何人。

TM ：所以我要保持一般。 我所关注的最大问题实际上是围绕数据保留政策和披露。 所以我们期望这些是连接设备，并且可能缺少Alexa然后执行动作活动，通信，我们的请求的实际处理将发生在亚马逊服务器，谷歌服务器上等等向前。 因此，我们，您自己，其他家庭成员，访问者等之间的声音模式的变化程度，以及Alexa或Google Home对此做出反应的能力都是积极的。 从本质上讲，我们希望它能够采取立即行动，处理然后完成。 而我们正在学习的是，提供商倾向于在不确定的时间内保留这些数据。 从我的角度来看，这是一个重大的风险，因为数据量本身意味着对某个希望说出针对个人的恶意行为者来说，它可能非常有趣。

LO ：是的，这是一个非常好的观点。 而且我想，你知道，其中很多，这些问题最后达到了顶峰，我认为是上周，也就是7月的第一周，亚马逊承认它确实保留了与Alexa的客户互动的录音和成绩单语音助理是无限期的，除非客户必须手动进入并要求删除这些录音。 所以我认为这对很多人来说是一个非常好的警告，可能不一定会发生这种情况，但这确实引发了很多这样的问题，例如，保留数据的安全性有多长？ 如果像你所说的恶意行为者确实可以访问所有这些数据，会发生什么？ 所以我认为这提出了许多非常好的问题。 而且，你知道，它不仅仅是亚马逊，我认为Google Home也有类似的功能。 所以我认为这是一个非常好的观点。 并且它提出了一些问题，在这种情况下，亚马逊或其他供应商可以采用哪种最佳做法来更好地完善其数据保留政策。

TM ：所以我们在GDPR上有一些模板，关于最佳前进道路应该是什么。 在GDPR下，出于实际目的，有六种可能的情景，在这些情景下应收集并可能采取行动。 在其中两个中，它要么执行设备的有效功能，要么是用户同意。 在用户同意的情况下，必须有一定程度的披露。 你收集什么？ 你为什么收集？ 它将被保留多长时间以及谁将会触及这些数据。 在亚马逊的一个不确定的，无限期的保留政策的情况下，我们实际上看到每个人都真的感到惊讶，这实际上发生了。 而且我知道，从我的角度来看，对于不确定或无限期的数据保留政策来说，确实没有太大的价值。 工程师可能希望获取正在处理的数据并将其传递到产品的下一个版本，然后说，'是的，它是否仍然按照我们期望的方式工作？ 它修复了我们试图解决的错误吗？ 但是，一旦你发布了下一个版本，那么对于大部分数据来说确实没有太大的价值。 因此，如果最终用户不是同意过程的一部分，实际上没有对他们家中的数据发生什么发表意见，那么我们就会对自己看到的一连串问题敞开心扉，例如，法院据传，去年在新罕布什尔州进行的一起谋杀案调查显示亚马逊获取背景Alexa数据。 几年前我们在阿肯色州也见过这种情况。 如此有效，我们现在所处的位置是，亚马逊是否真的违背了我们对隐私的期望？ 我们是否真的参与了整个讨论，听起来我们正处于工程师实际执行代码的能力尚未赶上监管机构所说的内容或我们的用户一般都在期待我们。

LO ：所以我的问题是，如果亚马逊没有从保存和保留所有这些数据中获得太多，那么无限期保留它的原因是什么？ 它是出于广告目的，还是仅用于获取数据？

TM ：所以我对此没有明确的答案。 我可以说，一般来说，数据的价值会随着时间的推移而减少。 但它也在考虑潜在的未来功能可能是什么。 因此，尚未确定要素的数据中可能存在某些值。 这可能是我们今年可能会在今年的产品修订版中看到的东西，它也可能是对设备本身具有保质期的认可，这比产品供应商预期的要长一点。

因此，例如，第一代回声仍然非常活跃，并且很好。 但它们的硬件容量可能比我们在当前一代设备中看到的要有限。 那么，您如何实际考虑人们在使用这些旧设备时所期望的服务水平？ 所以在开发过程中有价值，肯定有未来的证明价值，解决问题的价值。 因此，例如，如果您发表声明，'Alexa，执行操作'，并且它不执行正确的操作，然后获取实际处理的数据，然后将其用作a，如何修复该类型方案变为当你试图用普通人群作为目标时，非常有价值，比方说，不同的口音和不同的语音模式。

LO ：我知道所有这一切的另一个方面是谁能够访问这些数据，尤其是亚马逊以及开发人员，我知道这是一个在过去不断出现的大问题。 我认为是在四月份，亚马逊遭到抨击后，一份报告显示该公司允许审计员收听Echo用户的录音。 然后，你知道，如果你还记得的话，去年发生了那件事，当时亚马逊错误地向随机客户发送了一些包含Alexa互动记录的音频文件。 因此，我认为，对于数据的查看方式，观看者的观点，共享方式，可能会让消费者和监管机构感到担忧。

TM ：完全同意，这不是家庭助理所特有的。 我们在今年1月披露了与Ring门铃相关的视频文件可供开发团队访问。 有效地，任何拥有适当凭据的人都可以说，好吧，让我们去看看这个门铃相机的直播内容。 这些报道包括开发人员以更加少年恶作剧的方式使用它的轶事。 因此，根本问题归结为为什么这些数据被保留，谁知道它被保留了？ 我知道，就我自己而言，我家中某个人收集的数据量是一个问题，而且缺乏对此的控制以及挖掘这些数据的结果同样是一个问题，特别是在我们开始时进入选举周期，或者当我们有高调的违规行为，因为我们似乎正在进行一个悲惨的，更持续的基础。 对？

LO ：它只是表现出一种只是侵犯隐私的程度，这真的有可能与这些设备在你的家中正确，它真的让你思考，你认为会有任何一种消费者突破点，语音助理所有者和物联网设备所有者将开始担心这些数据隐私问题？ 我的意思是，你和我我们是安全社区的一员。 所以我们从安全空间的泡沫中看出这一点。 但是你认为这对消费者朋友来说会是一个更大的问题吗？

TM ：我当然可以。 而且我认为这个海报就是Facebook，以及他们作为独立于公司本身的应用程序所带来的所有挑战。 作为剑桥分析公司丑闻的最近几年的应用程序，从去年的违规行为中脱颖而出，就能够让持续的净新用户进入平台而言，Facebook帝国内的其他平台能够吸引用户，但Facebook本身作为一个应用程序已经被污染，它实际上是一个更具损害恢复的场景。 如果将这一点与GDPR等法规相结合，以及潜在的罚款，特别是围绕同意，选择加入和披露，例如，法国监管机构对谷歌在Android设备上启动初始体验的罚款，从软件开发的角度来看，从安全的角度来看，只会给我更多的数据以便我可以采取行动不再是可以接受的东西，并且消费者自己也开始了认识到他们应该在发生的事情上有发言权。 我所关注的最大问题实际上是潜在的隐私影响，如果某人访问某种形式的家庭自动化设备，收集该人的数据以及该建筑物的占用者，该结构，以及不一定是所有适当的认股权证。 现在我们有可能的第四修正案，然后与第一修正案纠缠在一起。 对于任何参与其中的组织来说，这都是一个混乱的场景。我们只需要看看Apple的回应以及所有关于Apple在San Bernardino攻击后如何回应的各种意见。

LO ：这些攻击不是通用的。 考虑到这些设备上的超个性化数据类型，它们似乎可能是更具针对性的攻击类型。 顺便说一下，顺便提一下，你认为监管和语音助理设备将来会在哪里发展？ 您是否认为，这些设备如何收集和使用隐私之间存在任何形式的最终影响？ 你认为这将是下一个GDPR问题吗？

TM ：我绝对认为，在接下来的15个月内，我们将会有一项关于家庭自动化设备数据收集政策的GDPR裁决。 语音助手可能会在名单上排名很高，就像可视门铃一样。 实际上，这将是一个披露内容以及如何处理信息的案例。 所以在GDPR下，有被遗忘的权利。 例如，如果某人要去亚马逊并且说，我希望删除与我的Alexa设备相关联的所有数据。

亚马逊可以遵守吗？ 从技术上讲，也许，也许不是。 它最初可能不是实际设计到系统中的东西，现在它们必须将其固定。 那就是当我们开始用螺栓固定东西时，能够穿过裂缝。 其中存在更大的长期安全问题，如果我们不知道数据已被收集，我们不知道数据是如何处理的，或者它是如何被存储的，那么我们怎么能真正知道我们已经注意到与所谓的被遗忘类型情景相关的所有义务？

LO ：嗯，我们一定会留意任何潜在的情况。 蒂姆，非常感谢今天加入我们的节目，讨论这些声音助手，如亚马逊和谷歌主页，以及那里的隐私影响。

TM ：当然，林赛。 真的非常感谢你。

LO ：太好了。 再一次，这是Lindsey O'Donnell和Synopsys的Tim Mackey。 下周赶上我们，了解更多关于Threatpost播客的采访，新闻报道以及更多内容。