Dietro Alexa, anche gli hacker sono già in ascolto






La prima vulnerabilità di Alexa scoperta da Check Point permette di accedere ai dati personali di una rete domestica. Pronto l’intervento di Amazon

Il sospetto di essere ascoltati dal proprio smartphone anche quando non lo usiamo non è del tutto privo i fondamenti. Anzi, come certifica Check Point, i sistemi per capire conversazioni private da trasformare in messaggi pubblicitari sono ormai una realtà anche su ogni dispositivo compatibile con Amazon Alexa.

Check Point, ha infatti identificato vulnerabilità di sicurezza in alcuni sottodomini collegati al servizio Amazon, attraverso i quali un hacker è potenzialmente in grado di rimuovere o installare competenze sull’account Alexa della vittima selezionata, accedere alla sua cronologia vocale e ai dati personali.

L’attacco richiedeva solo un singolo click da parte dell’utente su un link dannoso creato dall’hacker e pronto ad agire alla prima interazione vocale della vittima.

Una miniera di informazioni per gli hacker

Sono ormai oltre duecento milioni i dispositivi venduti in tutto il mondo compatibili con Alexa. Facile quindi prevedere un crescente interesse da parte dei malintenzionati del Web, sfruttando anche il vuoto di sicurezza tipico delle nuove tecnologie.

Da questi sistemi inoltre, il raggio d’azione si può allargare molto rapidamente, fino a interagire con i sistemi personali e impostare promemoria, riprodurre musica e controllare dispositivi intelligenti in un sistema domotico.

Non bisogna quindi sutpirsi di fronte all’aumento in questa tipologia di attacchi. Di conseguenza, serve anche un rapido intervento da parte delle aziende specializzate in sicurezza per mettere a punto i relativi strumenti di protezione.

Infatti, con la possibilità di estendere le funzioni di Alexa installando le skill, applicazioni guidate dalla voce, in aggiunta alle informazioni personali memorizzate negli account Amazon degli utenti e l’uso del dispositivo per gestire le automazioni domestiche, si rendono questi dispositivi un bersaglio molto attraente per gli hacker.

Tutto parte da un link

I ricercatori di Check Point hanno dimostrato come le vulnerabilità individuate in alcuni sottodomini di Alexa possano essere sfruttate da un hacker attraverso l’invio di un link dannoso all’apparenza proveniente da Amazon.  In pratica, una nuova modalità di phishing.

Se l’utente clicca sul link, l’aggressore può prima di tutto accedere alle informazioni personali della vittima, come la cronologia dei dati bancari, i nomi utente, i numeri di telefono e l’indirizzo di casa.

Inoltre, ha via libera per estrapolare la cronologia dei comandi vocali o per installare in modo silenzioso le competenze (app) sull’account Alexa di un utente, visualizzarne l’intera lista o anche rimuoverla. Il tutto, all’oscuro del legittimo proprietario.

Almeno per il momento però, non è ancora il caso di allarmarsi più del necessario. Come sottolinea Check Point, Amazon ha risposto rapidamente alla segnalazione e si è messa subito al lavoro per chiudere le vulnerabilità.

Il segnale però, deve essere raccolto prontamente da tutti produttori del settore, per essere pronti ad affrontare una nuova sfida nel campo della sicurezza, di cui oggi si colgono solo i primi segnali, ma le cui conseguenze possono diventare decisamente critiche.


Lascia un commento

Il tuo indirizzo email non sarà pubblicato.