Non bastavano le notizie recenti riguardo al fatto che gli smart speaker e in generale gli assistenti vocali di Amazon, Google, Apple e Microsoft conservassero el nostre conversazioni e che queste ultime fossero analizzate da personale umano, ora arrivano notizie ancora più preoccupanti per la nostra privacy. Un gruppo di hacker "white hat" tedeschi infatti ha dimostrato quanto sia facile sfruttare questi dispostivi per origliare le conversazioni degli utenti al fine di sottrarre password o altri dati sensibili.
Gli hacker etici in questione hanno infatti sviluppato otto app, quattro skill Alexa e quattro action di Google Home, tutte in grado di superare i processi di controllo di sicurezza dei due colossi. Le skill si presentavano come innocue applicazioni per controllare l'oroscopo, tranne una che passava per un generatore di numeri casuali. Tutte per in realtà nascondevano al proprio interno delle spie smart, come le chiamano i ricercatori.
"È sempre stato chiaro che gli assistenti vocali abbiano implicazioni per la privacy, con Google e Amazon che ricevono sample di dialoghi, a volte anche attivando la registrazione in maniera casuale", ha spiegato ai colleghi di ArsTechnica Fabian Bràunlein, consulente senior per la sicurezza presso SRLabs. "Ora è stato dimostrato che non solo i produttori, ma anche gli hacker possono abusare di quegli assistenti vocali per intromettersi nella privacy di qualcuno".
Queste spie smart funzionano in due modi. Nel primo caso possono fornire risposte esatte alla richiesta, nel caso specifico in merito ai segni zodiacali, per poi tornare silenti, ma in realtà continuano a registrare ogni conversazione ascoltabile.
Esempio di intercettazione tramite Google Home
Esempio di intercettazione tramite Amazon Echo
Nel secondo caso l'app comunica all'utente un messaggio di errore, affermando ad esempio che una determinata funzione non è ancora disponibile, ma dopo un minuto di silenzio comunica la disponibilità di un aggiornamento, chiedendo la password.
Esempio di phishing tramite Google Home
https://www.youtube.com/watch?time_continue=3&v=HliuWtVW4vY
Esempio di phishing tramite Amazon Echo
SRLabs ha comunque già fornito privatamente ad Amazon e Google tutti i dettagli tecnici relativi a questo tipo di hacking. In risposta, entrambe le aziende hanno affermato di essere già al lavoro per cambiare i propri processi di approvazione ed evitare che le skill caricate da terze parti possano avere tali capacità. Al momento comuqnue non ci sono evidenze riguardo al fatto che tali tecniche siano già state effettivamente sfruttate da malintenzionati.
Amazon Echo Dot è la soluzione più economica per accostarsi a questo tipo di dispositivi.