第三方软件或技能是智能个人助理（SPA）的基本组件。技能的数量已迅速增长，并以变化无常的商业模式为主导。技能可以访问个人信息，这可能会给用户带来风险。但是，关于该生态系统如何工作的信息很少，更不用说可以促进其研究的工具了。在本文中，我们介绍了迄今为止对Amazon Alexa技能生态系统的最大系统测量。我们通过设计一种方法来识别带有过度隐私策略的过度特权技能，研究了开发人员在该生态系统中的实践，包括他们如何收集和证明对敏感信息的需求。我们收集了199，295个Alexa技能，并发现大约有43％的技能（和50％的开发人员）要求这些权限遵循不良的隐私惯例，包括（部分）破坏的数据权限可追溯性。为了进行大规模分析，我们提出了SkillVet，它利用了机器学习和自然语言处理技术，并生成了高精度的预测集。我们报告了许多令人担忧的做法，包括开发人员如何通过帐户链接和会话技巧来绕过Alexa的许可系统，并提供有关如何提高透明度，隐私和安全性的建议。由于我们进行了负责任的披露，因此13％的已报告问题在提交时不再构成威胁。为了大规模执行这种分析，我们提出了SkillVet，该技术利用了机器学习和自然语言处理技术，并生成了高精度的预测集。我们报告了许多令人担忧的做法，包括开发人员如何通过帐户链接和会话技巧来绕过Alexa的许可系统，并提供有关如何提高透明度，隐私和安全性的建议。由于我们进行了负责任的披露，因此13％的已报告问题在提交时不再构成威胁。为了进行大规模分析，我们提出了SkillVet，它利用了机器学习和自然语言处理技术，并生成了高精度的预测集。我们报告了许多令人担忧的做法，包括开发人员如何通过帐户链接和会话技巧来绕过Alexa的许可系统，并提供有关如何提高透明度，隐私和安全性的建议。由于我们进行了负责任的披露，因此13％的已报告问题在提交时不再构成威胁。通过帐户关联和会话技巧的许可系统，并就如何提高透明度，隐私和安全性提供建议。由于我们进行了负责任的披露，因此13％的已报告问题在提交时不再构成威胁。通过帐户关联和会话技巧的许可系统，并就如何提高透明度，隐私和安全性提供建议。由于我们进行了负责任的披露，因此13％的已报告问题在提交时不再构成威胁。



"点击查看英文标题和摘要"