Due ricercatori specializzati in sicurezza informatica sono riusciti ad ottenere il premio da 60.000$ nel contest dedicato all’hacking in concomitanza dell’annuale evento Pwn2Own, sviluppando e dimostrando vari exploit di alto profilo, incluso l’attacco a un Amazon Echo.
Amat Cama e Richard Zhu del Team Fluoroacetate – riferisce TechCrunch – hanno ottenuto il premio da 60.000$ per un bug causato a errori di tipo integer che consente di prendere di mira i nuovi Amazon Echo Show 5 e gli smart display con Alexa.
I ricercatori hanno scoperto che i dispositivi in questione sfruttano una vecchia versione di Chromium, il progetto open-source da cui deriva Chrome. Un bug permette di ottenere il pieno controllo del dispositivo connesso a un hotspot WiFI malevolo. I ricercatori hanno testato i loro exploit usando la schermatura elettronica, proteggendo le apparecchiate da potenziali interferenze esterne.
Semplificando, le vulnerabilità dovute a errori di tipo integer overflow sfruttano bachi nella rappresentazione di numeri a lunghezza fissa (di solito il risultato di un’operazione), dovute al fatto che la quantità di cifre disponibili è minore rispetto a quelle necessarie per rappresentare il numero. Errori di questo tipo possono avere conseguenze a livello di sicurezza.
Amazon riferisce di stare indagando il problema e assicura che adotterà le misure appropriate per proteggere i suoi dispositivi. L’Echo non era l’unico dispositivo connesso a internet in mostra all’evento Pwn2Own. Era presente anche un prodotto della famiglia Facebook Portal, ma questi non hanno attirato l’interesse dei ricercatori (o più probabilmente non avevano exploit pronti da dimostrare).
Per tutte le notizie sulla sicurezza informatica seguite questa sezione di macitynet.