Una ricerca dell’Università della Ruhr a Bochum (Germania) e della North Carolina State University su 90194 diverse skill di Alexa (le applicazioni vocali che permettono di attivare nuove funzionalità) ha evidenziato varie falle in termini di sicurezza e privacy.
Il Dr. Martin Degeling spiega che un primo problema è dato dal fatto che fin dal 2017 Amazon ha in gran parte attivato le skill automaticamente; in precedenza gli utenti dovevano dare il loro consenso prima di usare una skill; ora hanno appena a disposizione la possibilità di ottenere informazioni da dove arrivano le skill e chi le ha programmate.
Il secondo problema è che gli sviluppatori possono registrarsi con il nome di qualsiasi azienda nella creazione di un account sviluppatore, permettendo ad un attacker di impersonare produttori o fornitori di servizi noti.
I ricercatori hanno testato loro stessi il procedimento di registrazione, riuscendo a registrare loro skill come se queste arrivassero da una nota azienda e ottenere informazioni preziose dagli utenti.
Amazon prevede un procedimento di certificazione per le skill ma non vi sono “restrizioni nel cambiamento del codice di backend”, elemento che può essere cambiato in qualsiasi momento dopo il processo di certificazione”. In sostanza un malintenzionato può in qualunque momento cambiare il codice e cominciare a recuperare informazioni sensibili.
Sono stati individuati vari sviluppatori di skill che pubblicano sotto falsa identità e senza tenere conto di policy in termini di privacy. Stando ai dati della ricerca, solo il 24,2% delle skill prevede privacy policy, e dunque tre quarti delle skill non offrono misure in termini di riservatezza.
Ancora peggio, si legge nella ricerca: “Per alcune categorie, come ad esempio, le skill per i bambini e quelle relative a salute e fitness, solo il 13,6% e il 42,2% rispettivamente prevedono policy sulla privacy”.
Un portavoce di Amazon ha dichiarato a ZDNet: “La sicurezza dei nostri dispositivi e servizi ha la massima priorità. Effettuiamo controlli di sicurezza nell’ambito della certificazione delle skill e disponiamo di sistemi per monitorare dal vivo le skill per determinare comportamenti potenzialmente malevoli. Qualsiasi skill identificata come incriminata viene bloccata durante la certificazione o velocemente disattivata. Stiamo costantemente migliorando questi meccanismi per proteggere ulteriormente i nostri utenti”. E ancora: “Apprezziamo il lavoro di ricercatori indipendenti che aiutano a portare alla nostra attenzione potenziali problematiche”.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.