RISERVATEZZA DEI DATI

“Alexa non fare la cattiva!” Ecco l’ultima brutta sorpresa dell’assistente vocale

I “bug” del sistema di Amazon spalancano le porte agli hacker e a farne le spese sono gli utenti

L’assistente vocale così diffuso in milioni di case non smette di preoccupare e il recente allarme degli specialisti di sicurezza di CheckPoint merita di essere preso in seria considerazione.

Le ennesime vulnerabilità (il dispositivo, oltre ad essere sospettato di esser innesco di violazioni della privacy, non è affatto nuovo a rivelarsi “aggredibile” dai malintenzionati di turno) si palesano a seguito di qualche semplice apertura di pagina web opportunamente avvelenata. Una richiesta che comporta – come sempre – una navigazione online per dare risposta e soddisfazione all’utente può essere una micidiale occasione di inciampo destinata ad azzoppare la sicurezza e la serenità di chi adopera l’assistente virtuale.

Una serie di “exploit” (ovvero porzioni di codici balordi nascosti nelle pagine di Internet e capaci di “intontire” i dispositivi che vi incappano) sarebbero in grado di interagire con Alexa, installandovi skill nocivi o rimuovendone di validi già esistenti.

Il termine “skill” si traduce facilmente in “abilità” e nella fattispecie riconduce alla capacità di Alexa di fare qualcosa. Se un pirata informatico accede fraudolentemente al sistema dell’assistente vocale, può “rieducare” l’apparato eliminando la possibilità di fare attività importanti e utili e inserendo competenze e facoltà per azioni indesiderate e dannose per chi adopera quell’aggeggio.

Non è certo la prima volta che emergono timori su questo genere di tecnologie perché rappresentano lo stargate (e quindi in varco di ingresso) della nostra vita domestica: grazie a loro c’è chi indebitamente accede a dati personali, ascolta conversazioni, viene a conoscenza di opinioni, gusti, preferenze, interessi.

Da una parte i tecnici di Amazon cercano di blindare i loro prodotti, dall’altra gli hacker scavano per trovarne il tallone d’Achille che – pur di volta in volta protetto – continua ad essere sempre scoperto. 

Secondo Check Point il problema è in una errata configurazione del sistema (applicazioni e server) Alexa di Amazon, che permetterebbe ai birbaccioni sempre in agguato di “iniettare” codici maligni sul sottodominio di Amazon “track.amazon.com”.

La minaccia è presto spiegata. L’utente viene invitato dall’aggressore (che si manifesta naturalmente sotto mentite spoglie e fa credere che l’input sia originato dall’azienda produttrice di Alexa) a fare clic su un collegamento dannoso che a sua volta accede a un sottodominio Amazon (“track.amazon.com”). La trappola consente di far eseguire all’utente legittimo richieste in realtà pilotate dai criminali.

Il malcapitato finisce con il diventare il passepartout di chi ha costruito questo tranello: le sue credenziali – carpite in questa chicane telematica – vengono utilizzate illegittimamente per ottenere informazioni inerenti le “abilità” installate sul dispositivo Amazon e per sgraffignare il “token” (una sorta di ricevuta valida per eseguire future richieste) del servizio “skillsstore.amazon.com”.

La disponibilità di quel token consente ai criminali di vedere le impostazioni dell’utente e di “adattarle” a proprio piacimento. Da quel momento Alexa ubbidirà anche (e forse soltanto) agli ordini impartiti dai malfattori.

In termini pratici cos’altro può capitare?

I cyber-furfanti sono in grado di rubare una valanga di informazioni personali: si spazia dai dati anagrafici alla cronologia delle operazioni bancarie (quante persone pigre chiedono ad Alexa di pagare le bollette o di fare un bonifico…), dagli identificativi (o account) delle persone di casa fino alle password corrispondenti, dai numeri di telefono agli indirizzi di parenti, amici e conoscenti.

Questo scherzetto è anche in grado di rendere “trasparente” la sequenza dei comandi che nel tempo sono stati impartiti ad Alexa dal suo possessore.

Che fare? Forse per il futuro converrà provvedere personalmente ad accendere le luci o a mettere un brano musicale di proprio gradimento, sempre che si sia ancora in tempo per riprendere il controllo della situazione…

Tags
Back to top button
Close
Close