Le problematiche legate alla privacy con gli smart speaker sembrano non voler finire mai ma i big del settore non sembrano troppo preoccupati da ciò che accade con i loro dispositivi nonostate problemi vari già emersi in altre occasioni.
Ricercatori di Security Research Labs, azienda specializzati in sicurezza, hanno creato delle “skill” per Alexa e della “Action” per Google Home, sfruttate in realtà per dimostrare la possibilità di “hackerare” gli smart speaker. Lo riferisce Ars Technica spiegando che i ricercatori in questione hanno creato nuove funzionalità er le due piattaforme, software apparentemente legittimi come ad esempio “skill” per la lettura dell’oroscopo, per “tirare un dado” o innocui servizi per la lettura delle news e altre cose di questo tipo che in realtà integravano codice malevolo.
Le app in questione sono state sfruttate per raccogliere dati personali, incluse password e anche per origliare conversazioni, anche quando in teoria gli speaker non dovevano essere in ascolto.
L’attivazione delle app-spia avviene seguendo due passaggi: l’utente, dopo aver attivato l’assistente virtuale con comandi tipo “Ok Google” o “Ehi Alexa”, chiede qualcosa tipo l’oroscopo del giorno; fornite le informazioni, l’app rimane “in ascolto”, attiva all’insaputa dell’utente; a questo punto inizia la seconda fase, registrando le conversazioni nella stanza e inviando le registrazioni a un server dedicato.
Le varie app “malevole” sono state approvate da team di moderatori e rimosse soltanto quando i ricercatori hanno rivelato le loro intenzioni ad Amazon e Google. “Per impedire attacchi di questo tipo”, spiegano i ricercatori di SLR, “Amazon e Google devono implementare meccanismi di protezione migliori, a partire da un più rigoso procedimento di revisione per le Skill e le Actions disponibili sugli store per le app vocali”.
Amazon e Google riferiscono ora di avere migliorato i procedimenti di controllo delle app ma l’enorme diffusione di malware e spyware integrato in app presenti sul Google Play Store dimostra quanto è difficile rendere realmente sicuri gli store.
Amazon, in una nota inviata ad Ars Technica, riferisce che “la fiducia dei clienti è importante per noi per questo conduciamo continue revisioni nell’ambito della sicurezza e della certificazione delle competenze. Abbiamo rapidamente bloccato l’abilità in questione e messo in atto nuove misure per prevenire e rilevare questo tipo di comportamento. È importante che i clienti sappiano che forniamo aggiornamenti di sicurezza automatici per i nostri dispositivi senza mai chiedere di condividere la password”. Più o meno simili le dichiarazioni di Google: l’azienda riferisce di essere impegnata a mettere in atto procedure supplementari per impedire che tali problemi accadano in futuro.
Per tutte le notizie relative alla sicurezza informatica, fate riferimento alla sezione dedicata del nostro sito.
