Non è la prima volta che Google Home e Alexa di Amazon hanno un problema di sicurezza. Fonte: Fortune

Novità e trend

La vulnerabilità di Alexa e Google Home consente intercettazioni e phishing

22.10.2019

Traduzione: tradotto automaticamente

Gli esperti dei Security Research Labs (SRLabs) hanno scoperto una nuova vulnerabilità di sicurezza negli smart speaker di Google e Amazon. Non solo sono stati in grado di ascoltare le conversazioni, ma anche di rivelare le password.

Simulando un innocente caricamento di una semplice skill Alexa o di un'azione Google, un malware può registrare silenziosamente le conversazioni o addirittura chiedere le password. Lo hanno dimostrato i ricercatori di sicurezza di SRLabs utilizzando un software di terze parti. La dimostrazione non voleva essere solo un invito a Google e Amazon a rivedere i requisiti delle terze parti, ma anche agli utenti a rimuovere i software di terze parti dai loro dispositivi se non li utilizzano.

Attenzione ai programmi di terze parti

Non ci sono prove che questa vulnerabilità sia già stata sfruttata. I ricercatori di SRLabs hanno inoltrato le loro scoperte a Google e Amazon prima di renderle pubbliche. I Security Research Labs hanno pubblicato sul loro sito web istruzioni su come sfruttare la vulnerabilità in Google Home e Alexa di Amazon.

Piccolo e poco appariscente, ma una spia nelle mani sbagliate: il Google Home Mini. Fonte: inside digital

I software di terze parti vengono controllati accuratamente sia da Google che da Amazon prima di essere approvati e quindi resi disponibili sugli altoparlanti intelligenti. ZDNet scrive però che i due colossi tecnologici non controllano gli aggiornamenti dei software di terze parti approvati. Per questo motivo, i ricercatori di sicurezza sono riusciti a inserire un codice maligno nel software precedentemente approvato, che può quindi entrare negli altoparlanti degli utenti.

Un trucco intelligente lo rende possibile

In quattro video, il team di SRLabs spiega come funzionano gli hack. In un hack di Google, l'intera operazione avviene tramite un'azione di Google che genera un numero casuale. L'azione esegue questo esatto comando e fornisce all'utente un numero casuale. Tuttavia, il software continua ad ascoltare, anche se la sequenza di comandi originale è già stata completata. Con Alexa, il trucco funziona con un'applicazione di oroscopo che legge quali sono le cose buone e cattive in serbo per il tuo segno zodiacale oggi. Questo software può ignorare il comando di stop dell'utente e ascoltare e scrivere in silenzio. Altri video mostrano come vengono utilizzati falsi messaggi di errore per chiedere la password dell'utente.

In tutti e quattro i casi, il team di SRLabs è riuscito ad ascoltare anche se è stato impartito un comando di stop o l'offerta sarebbe dovuta terminare da tempo. I ricercatori di sicurezza hanno ottenuto questo risultato dando all'assistente vocale dei caratteri che non poteva pronunciare. Di conseguenza, l'assistente non dice nulla - perché non può pronunciare questi caratteri speciali - ma continua ad ascoltare. L'utente non se ne accorge, perché non c'è alcun feedback da parte dell'assistente vocale e il comando sembra essere stato completato. Tutto ciò che l'utente dice da quel momento in poi può essere registrato e trasmesso direttamente a un hacker.

Una storia infinita

Secondo quanto riportato da Ars Technica, Amazon ha già reagito e ha introdotto nuove misure per evitare che in futuro abilità di terze parti possano ascoltare o addirittura chiedere password. Non appena si verificherà un comportamento del genere con una skill, questa verrà rimossa. Alla domanda di Ars Technica, Google ha risposto di aver messo in atto dei processi di revisione in grado di scoprire immediatamente tali comportamenti e di aver rimosso immediatamente le azioni programmate da SRLabs. Inoltre, è in corso una revisione interna di tutte le azioni di terze parti e alcuni componenti aggiuntivi sono già stati disattivati.

Amazon non ha nulla da invidiare a Google, purtroppo: anche l'Amazon Echo può ascoltare senza che gli venga chiesto. Fonte: TechRadar

Non è una novità e non è la prima volta che Alexa o Google Home di Amazon hanno avuto problemi di intercettazioni o di phishing. Ciò che preoccupa di questa storia, tuttavia, è il fatto che continuano a spuntare nuove vulnerabilità, anche se la privacy è sempre stata il principale punto di scontro con gli altoparlanti intelligenti. Se hai già dei dubbi sugli assistenti stessi, dovresti stare alla larga da fornitori di software di terze parti poco affidabili.

Fai come con gli altoparlanti intelligenti e i software di terze parti: fai entrare a casa tua solo persone di cui ti fidi. E se non vuoi perderti altre notizie su smart speaker, smart home o altre tendenze tecnologiche, seguimi cliccando sul pulsante "Segui" sul profilo dell'autore. <p

Immagine di copertina: Non è la prima volta che Google Home e Alexa di Amazon hanno un problema di sicurezza. Fonte: Fortune

A 22 persone piace questo articolo

Raphael Knecht

Senior Editor

raphael.knecht@digitecgalaxus.ch

Se non mi sto cibando di "ciugnate" dolci a volontà vuol dire che sono in qualche palestra: l’unihockey è una mia grande passione, sia come giocatore che come allenatore. Nei giorni di pioggia puoi scovarmi ad avvitare e svitare i miei PC, robot o altri giocattoli elettronici. La musica mi accompagna costantemente. La vita sarebbe dura senza giri in bici sulle strade di montagna ed intense sessioni di sci di fondo.

Novità e trend

Dal nuovo iPhone al revival della moda anni '80. La redazione fa chiarezza.

Visualizza tutti

11 commenti

later

Cerca

La vulnerabilità di Alexa e Google Home consente intercettazioni e phishing

Attenzione ai programmi di terze parti

Un trucco intelligente lo rende possibile

Una storia infinita

11 commenti

Top 10 categorie

Vai direttamente a

11 commenti

Digitec Offerta del giorno