La vulnerabilità di Alexa e Google Home consente intercettazioni e phishing
Gli esperti dei Security Research Labs (SRLabs) hanno scoperto una nuova vulnerabilità di sicurezza negli smart speaker di Google e Amazon. Non solo sono stati in grado di ascoltare le conversazioni, ma anche di rivelare le password.
Simulando un innocente caricamento di una semplice skill Alexa o di un'azione Google, un malware può registrare silenziosamente le conversazioni o addirittura chiedere le password. Lo hanno dimostrato i ricercatori di sicurezza di SRLabs utilizzando un software di terze parti. La dimostrazione non voleva essere solo un invito a Google e Amazon a rivedere i requisiti delle terze parti, ma anche agli utenti a rimuovere i software di terze parti dai loro dispositivi se non li utilizzano.
Attenzione ai programmi di terze parti
Non ci sono prove che questa vulnerabilità sia già stata sfruttata. I ricercatori di SRLabs hanno inoltrato le loro scoperte a Google e Amazon prima di renderle pubbliche. I Security Research Labs hanno pubblicato sul loro sito web istruzioni su come sfruttare la vulnerabilità in Google Home e Alexa di Amazon.
I software di terze parti vengono controllati accuratamente sia da Google che da Amazon prima di essere approvati e quindi resi disponibili sugli altoparlanti intelligenti. ZDNet scrive però che i due colossi tecnologici non controllano gli aggiornamenti dei software di terze parti approvati. Per questo motivo, i ricercatori di sicurezza sono riusciti a inserire un codice maligno nel software precedentemente approvato, che può quindi entrare negli altoparlanti degli utenti.
Un trucco intelligente lo rende possibile
In quattro video, il team di SRLabs spiega come funzionano gli hack. In un hack di Google, l'intera operazione avviene tramite un'azione di Google che genera un numero casuale. L'azione esegue questo esatto comando e fornisce all'utente un numero casuale. Tuttavia, il software continua ad ascoltare, anche se la sequenza di comandi originale è già stata completata. Con Alexa, il trucco funziona con un'applicazione di oroscopo che legge quali sono le cose buone e cattive in serbo per il tuo segno zodiacale oggi. Questo software può ignorare il comando di stop dell'utente e ascoltare e scrivere in silenzio. Altri video mostrano come vengono utilizzati falsi messaggi di errore per chiedere la password dell'utente.
In tutti e quattro i casi, il team di SRLabs è riuscito ad ascoltare anche se è stato impartito un comando di stop o l'offerta sarebbe dovuta terminare da tempo. I ricercatori di sicurezza hanno ottenuto questo risultato dando all'assistente vocale dei caratteri che non poteva pronunciare. Di conseguenza, l'assistente non dice nulla - perché non può pronunciare questi caratteri speciali - ma continua ad ascoltare. L'utente non se ne accorge, perché non c'è alcun feedback da parte dell'assistente vocale e il comando sembra essere stato completato. Tutto ciò che l'utente dice da quel momento in poi può essere registrato e trasmesso direttamente a un hacker.
Una storia infinita
Secondo quanto riportato da Ars Technica, Amazon ha già reagito e ha introdotto nuove misure per evitare che in futuro abilità di terze parti possano ascoltare o addirittura chiedere password. Non appena si verificherà un comportamento del genere con una skill, questa verrà rimossa. Alla domanda di Ars Technica, Google ha risposto di aver messo in atto dei processi di revisione in grado di scoprire immediatamente tali comportamenti e di aver rimosso immediatamente le azioni programmate da SRLabs. Inoltre, è in corso una revisione interna di tutte le azioni di terze parti e alcuni componenti aggiuntivi sono già stati disattivati.
Non è una novità e non è la prima volta che Alexa o Google Home di Amazon hanno avuto problemi di intercettazioni o di phishing. Ciò che preoccupa di questa storia, tuttavia, è il fatto che continuano a spuntare nuove vulnerabilità, anche se la privacy è sempre stata il principale punto di scontro con gli altoparlanti intelligenti. Se hai già dei dubbi sugli assistenti stessi, dovresti stare alla larga da fornitori di software di terze parti poco affidabili.
Fai come con gli altoparlanti intelligenti e i software di terze parti: fai entrare a casa tua solo persone di cui ti fidi. E se non vuoi perderti altre notizie su smart speaker, smart home o altre tendenze tecnologiche, seguimi cliccando sul pulsante "Segui" sul profilo dell'autore. <p
Se non mi sto cibando di "ciugnate" dolci a volontà vuol dire che sono in qualche palestra: l’unihockey è una mia grande passione, sia come giocatore che come allenatore. Nei giorni di pioggia puoi scovarmi ad avvitare e svitare i miei PC, robot o altri giocattoli elettronici. La musica mi accompagna costantemente. La vita sarebbe dura senza giri in bici sulle strade di montagna ed intense sessioni di sci di fondo.