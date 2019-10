Luca Colantuoni,

Amazon e Google hanno ammesso che i dipendenti possono ascoltare ciò che gli utenti chiedono ai loro smart speaker. I ricercatori di Security Research Labs hanno ora scoperto che gli altoparlanti possono essere sfruttati come dispositivi per lo spionaggio e il phishing.

Le funzionalità degli Amazon Echo e Google Home possono essere estese tramite app di terze parti, denominate rispettivamente Skill e Action. Gli esperti dell’azienda tedesca hanno creato otto app “oroscopo” che permettono di ottenere informazioni sensibili (password degli account Amazon e Google) e di registrare tutto ciò che viene detto dagli utenti. In pratica gli smart speaker possono diventare smart spy, nascondendo una specifica sequenza di caratteri nel codice delle app.

Sia Amazon che Google verificano le app di terze parti prima della pubblicazione, ma ciò avviene solo la prima volta. Se lo sviluppatore modifica le funzionalità non c’è un secondo controllo. Per effettuare un attacco di phishing è sufficiente sostituire il messaggio di benvenuto con un messaggio di errore (ad esempio “la skill non è disponibile nel tuo paese”), facendo credere all’utente che l’app non è stata avviata. Nel codice è presente la sequenza “�. ” (U+D801, punto, spazio) che non può essere pronunciata, quindi lo speaker rimane in silenzio. Viene quindi chiesta la password e/o l’indirizzo email dell’account per un (finto) aggiornamento di sicurezza.

La registrazione delle conversazioni dell’utente viene ottenuta in modo simile. In questo caso la sequenza impronunciabile viene sfruttata per lasciare attivi gli smart speaker e trascrivere le parole in un file di testo che verrà successivamente inviato al server del malintenzionato. Amazon e Google hanno rimosso le app di SRLabs e avviato modifiche al processo di approvazione di Skill e Action per evitare simili abusi in futuro.