Google Home e Amazon Echo utilizzati dagli hacker per spiare gli utenti
Dopo i numerosi casi su presunte o reali violazioni della privacy segnalati nei mesi scorsi, a lanciare questa volta l’allarme su Alexa e Google Assistant è stata l’azienda tedesca Security Research Labs che dopo aver sviluppato una serie di app dedicate agli assistenti virtuali ha dimostrato come le stesse siano state abili nell’effettuare veri e propri tentativi di phishing accedendo così a dati sensibili.
Mascherate da innocui servizi di news, oroscopo e giochi (come “tira i dadi” o “genera un numero casuale”), le estensioni di Security Research Labs sono riuscite nell’intento di registrare conversazioni o chiedere agli utenti le informazioni di accesso al proprio account.
L’attivazione delle app spia avviene fondamentalmente in due passaggi: nella prima fase l’utente, dopo aver svegliato l’assistente virtuale con i comandi “Ok Google” o “Ehi Alexa”, chiede la lettura dell’oroscopo del giorno relativo al proprio segno. Una volta fornite le informazioni richieste l’app rimane attiva all’insaputa dell’utente e - qui inizia la seconda fase - provvede a registrare le conversazioni successive, inviando infine i file raccolti ad un server privato.
Per effettuare un vero e proprio phishing, invece, l’azienda tedesca ha sviluppato un’app che alla richiesta di informazioni da parte dell’utente risponde con il messaggio “Siamo spiacenti, il servizio non è disponibile nel tuo Paese”. Anche in questo caso l’app è rimasta silenziosamente attiva e dopo alcuni minuti, simulando la voce degli assistenti virtuali di Google e Amazon, ha segnalato la presenza di un aggiornamento con successiva richiesta della password dell’account all’ignaro consumatore.
Le app sono state chiaramente rimosse da Security Research Labs dopo aver effettuato un report dettagliato che è stato inviato a Google e Amazon, ma è stato così dimostrato che qualsiasi hacker può entrare in possesso di dati estremamente sensibili abusando delle funzionalità offerte dagli assistenti virtuali.
Fonte: DDay