Gli smart speaker di Amazon e Google sono vulnerabili agli hacker
Proprio mentre Amazon e Google cercano disperatamente di convincerci che non stanno ascoltando tutto ciò che diciamo, i ricercatori di sicurezza hanno dimostrato con quanta facilità questi dispositivi possono essere infiltrati da hacker che intercettano le tue conversazioni. E anche – solo per ridere – phishing per le tue password.
Un gruppo di ricerca tedesco Security Research Labs ha scoperto una vulnerabilità che hanno soprannominato Smart Spies. Attraverso vari trucchi aggiunge una lunga pausa alla risposta di Alexa o Google per farti pensare che non stia più ascoltando.
Quindi ti chiede, imitando Alexa o Google, di aggiornare il tuo dispositivo e chiede informazioni di identificazione personale come una password, o semplicemente continua ad ascoltare e registrare le tue conversazioni, trascrivendo ciò che dici e inviando una trascrizione all'hacker.
Leggi questo: scavare nei nuovi strumenti per la privacy di Amazon
Secondo un rapporto di ArsTechnica, la vulnerabilità arriva perché anche se sia Amazon che Google esaminano Skills e Actions prima che vengano aggiunti alle piattaforme, gli aggiornamenti non vengono esaminati, quindi un'app apparentemente innocua può diventare canaglia senza che nessuno ne sia più saggio. .
I ricercatori della sicurezza hanno sviluppato otto app: quattro Alexa Skill e quattro Google Home Actions, che erano in grado di fare esattamente questo. Principalmente semplici app per l'oroscopo dietro le quinte che sono state in grado di ascoltare o convincere gli utenti a rinunciare a password o indirizzi e-mail.
In una e-mail a Gizmodo, Security Research Labs ha affermato che la vulnerabilità è stata scoperta a febbraio. "Siamo rimasti sorpresi nel vedere che gli hack di Smart Spies funzionavano ancora più di tre mesi dopo aver segnalato i problemi a Google e Amazon", hanno scritto.
Le app non sono più disponibili, ma puoi vedere dimostrazioni di come funzionano sui video di YouTube pubblicati dai ricercatori sulla loro pagina del blog.
"Gli utenti devono essere più consapevoli del potenziale delle app vocali dannose che abusano dei loro altoparlanti intelligenti", hanno scritto sul loro blog. "L'utilizzo di una nuova app vocale dovrebbe essere affrontato con un livello di cautela simile all'installazione di una nuova app sul tuo smartphone."
Gli utenti devono essere più consapevoli del potenziale delle app vocali dannose che abusano dei loro altoparlanti intelligenti
Security Research Labs ha condiviso i suoi risultati con le aziende e ha raccomandato di implementare processi di revisione più approfonditi delle competenze e delle azioni di terze parti.
Amazon risponde al gruppo con la seguente dichiarazione:
“La fiducia dei clienti è importante per noi e conduciamo revisioni della sicurezza come parte del processo di certificazione delle competenze. Abbiamo rapidamente bloccato l'abilità in questione e messo in atto mitigazioni per prevenire e rilevare questo tipo di comportamento dell'abilità e rifiutarle o rimuoverle quando identificate".
Hanno anche affermato di aver messo in atto "mitigazioni" per prevenire i problemi sollevati e hanno sottolineato che gli utenti non dovrebbero mai condividere la propria password con i dispositivi tramite la voce, qualsiasi richiesta di tali informazioni non proviene da Amazon.
La risposta di Google è stata simile. "Tutte le azioni su Google devono rispettare le nostre norme per gli sviluppatori e vietiamo e rimuoviamo qualsiasi azione che violi tali norme. Abbiamo processi di revisione per rilevare il tipo di comportamento descritto in questo rapporto e abbiamo rimosso le azioni che abbiamo trovato da questi ricercatori. Stiamo mettendo in atto ulteriori meccanismi per evitare che questi problemi si verifichino in futuro".
Ci sono poche o nessuna prova, secondo i ricercatori, che ci siano app di questo tipo che attualmente minacciano gli utenti di Alexa e Google Home, tuttavia gli utenti di questi dispositivi devono rimanere vigili su qualsiasi attività sospetta sui loro altoparlanti intelligenti.