Gli speaker smart di Google e Alexa continuano ad avere problemi di sicurezza

Gli speaker smart Amazon Alexa e Google Home hanno nuovi problemi di sicurezza, che permettono di effettuare una serie di attachi contro ignari utenti.

Da tempo sappiamo che gli smart speaker Amazon Alexa e Google Home possono intercettare le nostre conversazioni per “migliorare le funzionalità degli assistenti vocali“. Tuttavia, nuove ricerche dimostrano che sia Amazon che Google continuano ad approvare app con potenziali rischi di sicurezza per gli utenti.

sicurezza amazon alexa

Come scoperto da ZDNet, le due aziende adottano costantemente delle contromisure, ma allo stesso tempo continuano ad emergere nuove falle che vengono sfruttate da app di terze parti. Le ultime in ordine di tempo sono state rese note ieri, dopo essere state identificate a inizio anno da Luise Frerichs e Fabian Bräunlein, due ricercatori di sicurezza della Security Research Labs (SRLabs).

Tramite il back-end di Amazon e Google che viene fornito agli sviluppatori di app, è possibile intercettare gli utenti ed effettuare attacchi di phishing in modo abbastanza semplice. Questi backend forniscono l’accesso a funzioni che gli sviluppatori possono utilizzare per personalizzare i comandi a cui rispondere e il modo in cui l’assistente vocale può rispondere alle richieste degli utenti.

Il modo corretto in cui le app di terze parti dovrebbero funzionare prevede che i microfoni degli speaker siano attivi per un breve periodo successivo alla richiesta dell’utente o alla domanda dell’app. Tuttavia, sfruttando i bug di sicurezza presenti sia nei dispositivi Alexa che in quelli Google, è possibile creare un’app dannosa che lascia il microfono sempre attivo e registra quello che sente per molto più tempo. Tutto questo si ottiene utilizzando una stringa speciale che crea una pausa più lunga dopo la richiesta dell’utente. Gli sviluppatori possono sfruttare questo bug anche quando sono gli speaker Amazon Alexa o Google Home a chiedere conferma su determinate richieste.

In pratica, sfruttando questo bug, gli speaker smart possono ascoltare qualsiasi cosa dicano gli utenti mentre il microfono è ancora acceso. Inoltre, la pausa più lunga può essere utilizzata per far pensare all’utente che non sta più interagendo con l’app, così che possa essere effettuato un tentativo di phishing. Ad esempio, l’app dannosa può chiedere una particolare conferma dopo qualche minuto facendo credere all’utente che il messaggio non abbia nulla a che fare con l’app utilizzata molto prima.

Nei video in basso vediamo un esempio di questo tipo di attacco: un’app di oroscopo genera un finto errore, ma rimane attiva e dopo qualche minuto chiede all’utente la password dell’account Amazon o Google, simulando un messaggio di aggiornamento proveniente proprio da Amazon o Google.

Questo tipo di attacco non è possibile su HomePod, visto che l’unico modo che hanno le app di terze parti di interagire con Siri è tramite le API di Apple. Nessuna app ha accesso diretto al sistema.

HotAcquista iPhone 15 su Amazon!
News