Gli hacker possono sfruttare Google Home e Amazon Echo per spiare gli utenti carpendo password e dati sensibili
Gli assistenti virtuali di Google e Amazon sono finiti nuovamente sotto i riflettori per un problema legato al funzionamento delle app di terze parti, in grado di acquisire password e dati personali degli utenti a loro insaputa. Dopo i numerosi casi su presunte o reali violazioni della privacy segnalati nei mesi scorsi, a lanciare questa volta l’allarme è l’azienda tedesca Security Research Labs che dopo aver sviluppato una serie di app dedicate ad Alexa e Google Assistant ha dimostrato come le stesse siano state abili nell’effettuare veri e propri tentativi di phishing accedendo così a dati sensibili.
Dopo aver superato tutte le fasi di sicurezza imposte da Google e Amazon per entrare a far parte della piattaforma, le app sono state testate con risultati che offrono effettivamente una nuova inquietante visione sulle problematiche legate ai due ecosistemi. Mascherate da innocui servizi di news, oroscopo e giochi (come “tira i dadi” o “genera un numero casuale”), le estensioni di Security Research Labs sono riuscite nell’intento di registrare conversazioni o chiedere agli utenti le informazioni di accesso al proprio account.
L’attivazione delle app spia avviene fondamentalmente in due passaggi: nella prima fase l’utente, dopo aver svegliato l’assistente virtuale con i comandi “Ok Google” o “Ehi Alexa”, chiede la lettura dell’oroscopo del giorno relativo al proprio segno. Una volta fornite le informazioni richieste l’app rimane attiva all’insaputa dell’utente e - qui inizia la seconda fase - provvede a registrare le conversazioni successive, inviando infine i file raccolti ad un server privato.
Per effettuare un vero e proprio phishing, invece, l’azienda tedesca ha sviluppato un’app che alla richiesta di informazioni da parte dell’utente risponde con il messaggio “Siamo spiacenti, il servizio non è disponibile nel tuo Paese”. Anche in questo caso l’app è rimasta silenziosamente attiva e dopo alcuni minuti, simulando la voce degli assistenti virtuali di Google e Amazon, ha segnalato la presenza di un aggiornamento con successiva richiesta della password dell’account all’ignaro consumatore.
Security Research Labs ha spiegato di aver manipolato i comandi che richiamano l’intelligenza artificiale, compreso il comando di “stop”, consentendo così alle applicazioni di rimanere attive e in ascolto per diversi secondi dopo aver espletato la loro apparente funzione. In questo modo tutte le conversazioni avviate dall’utente subito dopo sono state rilevate dall’app spia e immagazzinate in un server online oppure, nel caso del phishing, è stato chiesto un finto aggiornamento per poter memorizzare i dati di accesso.
Le app sono state chiaramente rimosse da Security Research Labs dopo aver effettuato un report dettagliato che è stato inviato a Google e Amazon, ma è stato così dimostrato che qualsiasi hacker può entrare in possesso di dati estremamente sensibili abusando delle funzionalità offerte dagli assistenti virtuali.
Amazon in merito alla questione ha risposto, con una nota inviata ad Ars Technica, che “la fiducia dei clienti è importante per noi per questo conduciamo continue revisioni nell’ambito della sicurezza e della certificazione delle competenze. Abbiamo rapidamente bloccato l'abilità in questione e messo in atto nuove misure per prevenire e rilevare questo tipo di comportamento. È importante che i clienti sappiano che forniamo aggiornamenti di sicurezza automatici per i nostri dispositivi senza mai chiedere di condividere la password”. Sulla stessa linea la risposta di Google che si è detta impegnata a mettere in atto procedure aggiuntive per impedire che tali problemi si verifichino in futuro.
In ogni caso, è stata fatta luce su un problema serio e per certi versi inedito relativo all’utilizzo quotidiano degli assistenti virtuali e dell’intelligenza artificiale in generale sottolineando quanto l’utente finale sia, in fin dei conti, impotente in materia di privacy relativamente al controllo dei propri dati e al modo in cui questi ultimi possano essere utilizzati se finiti in mani sbagliate.
Fonte: DDay