Third-party software, or skills, are essential components in Smart Personal Assistants (SPA). The number of skills has grown rapidly, dominated by a changing environment that has no clear business model. Skills can access personal information and this may pose a risk to users. However, there is little information about how this ecosystem works, let alone the tools that can facilitate its study. In this paper, we present the largest systematic measurement of the Amazon Alexa skill ecosystem to date. We study developers' practices in this ecosystem, including how they collect and justify the need for sensitive information, by designing a methodology to identify over-privileged skills with broken privacy policies. We collect 199,295 Alexa skills and uncover that around 43% of the skills (and 50% of the developers) that request these permissions follow bad privacy practices, including (partially) broken data permissions traceability. In order to perform this kind of analysis at scale, we present SkillVet that leverages machine learning and natural language processing techniques, and generates high-accuracy prediction sets. We report a number of concerning practices including how developers can bypass Alexa's permission system through account linking and conversational skills, and offer recommendations on how to improve transparency, privacy and security. Resulting from the responsible disclosure we have conducted,13% of the reported issues no longer pose a threat at submission time.

中文翻译：

---

SkillVet：Amazon Alexa技能的自动可追溯性分析

第三方软件或技能是智能个人助理（SPA）的基本组件。技能的数量已迅速增长，并以变化无常的商业模式为主导。技能可以访问个人信息，这可能会给用户带来风险。但是，关于该生态系统如何工作的信息很少，更不用说可以促进其研究的工具了。在本文中，我们介绍了迄今为止对Amazon Alexa技能生态系统的最大系统测量。我们通过设计一种方法来识别带有过度隐私策略的过度特权技能，研究了开发人员在该生态系统中的实践，包括他们如何收集和证明对敏感信息的需求。我们收集了199，295个Alexa技能，并发现大约有43％的技能（和50％的开发人员）要求这些权限遵循不良的隐私惯例，包括（部分）破坏的数据权限可追溯性。为了进行大规模分析，我们提出了SkillVet，它利用了机器学习和自然语言处理技术，并生成了高精度的预测集。我们报告了许多令人担忧的做法，包括开发人员如何通过帐户链接和会话技巧来绕过Alexa的许可系统，并提供有关如何提高透明度，隐私和安全性的建议。由于我们进行了负责任的披露，因此13％的已报告问题在提交时不再构成威胁。为了大规模执行这种分析，我们提出了SkillVet，该技术利用了机器学习和自然语言处理技术，并生成了高精度的预测集。我们报告了许多令人担忧的做法，包括开发人员如何通过帐户链接和会话技巧来绕过Alexa的许可系统，并提供有关如何提高透明度，隐私和安全性的建议。由于我们进行了负责任的披露，因此13％的已报告问题在提交时不再构成威胁。为了进行大规模分析，我们提出了SkillVet，它利用了机器学习和自然语言处理技术，并生成了高精度的预测集。我们报告了许多令人担忧的做法，包括开发人员如何通过帐户链接和会话技巧来绕过Alexa的许可系统，并提供有关如何提高透明度，隐私和安全性的建议。由于我们进行了负责任的披露，因此13％的已报告问题在提交时不再构成威胁。通过帐户关联和会话技巧的许可系统，并就如何提高透明度，隐私和安全性提供建议。由于我们进行了负责任的披露，因此13％的已报告问题在提交时不再构成威胁。通过帐户关联和会话技巧的许可系统，并就如何提高透明度，隐私和安全性提供建议。由于我们进行了负责任的披露，因此13％的已报告问题在提交时不再构成威胁。