Google e Amazon: smart speaker possono diventare spie

Chiunque abbia in casa uno smart speaker, di certo si sarà chiesto almeno una volta se la propria privacy può essere davvero messa a rischio. Del resto, avere un microfono in casa che, teoricamente, potrebbe spiare tutto quello che viene detto, non è proprio il massimo della sicurezza.
Mettendo per un attimo da parte il discorso di altri microfoni che potrebbero funzionare allo stesso modo, come quello dello smartphone o del telecomando della smart TV, i timori dei più preoccupati per eventuali violazioni della privacy non sono poi così infondati.

Ci ha pensato il team di SRLabs a dimostrarlo, che ha messo a punto una serie di applicazioni sia per Amazon Echo che per Google/Nest Home, per spiegare come, ad oggi, non dovremmo preoccuparci solo di per eventuali abusi da parte dei produttori, ma anche degli hacker malintenzionati.

I sistemi di controllo bypassati dal test di SRLabs

Per dimostrare quanto possa essere facile ingannare i sistemi di sicurezza di Google e Amazon, i ricercatori hanno realizzato in totale 8 applicazioni, o meglio skill per Alexa e action per Assistant.
Le applicazioni software realizzate avevano uno scopo ludico, come ad esempio la consultazione dell’oroscopo oppure il lancio virtuale dei dati, e sono state sottoposte alla verifica di sicurezza sia di Google che di Amazon senza contraffazione malevola.

Una volta approvate, però, i ricercatori le hanno modificate rendendole in grado di prelevare dati sensibili: l’attuale sistema di controllo delle applicazioni per smart speaker, purtroppo, non prevede revisioni in caso di modifiche apportate dopo l’approvazione.

Il gioco è fatto: i popolari smart speaker sono stati trasformati in vere e proprie spie intelligenti.

SRLabs ha pubblicato i risultati dell’esperimento attraverso video esplicativi del funzionamento dell’hack. In particolare sono state evidenziate due modalità di modifiche malevoli.

Nel primo caso, al richiamo dell’app installata viene fornito in risposta un errore: si sente Alexa recitare “Questa skill non è attualmente disponibile nel tuo paese”. A questo punto, il device continua con “C’è un nuovo aggiornamento disponibile per il tuo dispositivo Alexa. Per avviarlo, dì “Start” seguito dalla tua password Amazon”.
La ricercatrice in video spiega che, nonostante Amazon non chiederebbe mai la password dei suoi clienti, e soprattutto non secondo queste modalità, una gran parte di utenti potrebbe esserne ignara e fornire le informazioni richieste.

L’ipotetico hacker potrebbe così ricevere e memorizzare la password dell’account Amazon: riuscendo a reperire anche l’indirizzo e-mail, potrebbe avere libero accesso al profilo Amazon delle vittime, e alle carte di credito ad esso associate.
Nella seconda simulazione, invece, la finta app per la generazione di numeri interi, dopo aver assolto il suo compito e aver inviato il segnale audio di fine azione, resta in realtà in ascolto per più di 30 secondi, all’insaputa dell’utente, e registrando ciò che viene detto nelle vicinanze del dispositivo.

Al termine dei test, i ricercatori si sono preoccupati di avvisare sia Google che Amazon di quanto scoperto: entrambe le aziende hanno dichiarato ad ArsTechnica di aver rimosso le app dell’esperimento, e di provvedere ad aumentare i sistemi di controllo delle app di terze parti nei loro store digitali.