Con il progresso tecnologico sono sempre di più le innovazioni volte a semplificarci la quotidianità: basti pensare alla diffusione capillare della domotica, a lavatrici che programmano e asciugano il bucato, a frigoriferi con tablet che senza aprirli ti dicono cosa hai messo sui ripiani e ad assistenti domestici (si pensi ad Amazon Echo e a Google Home) che ci permettono di controllare il nostro appartamento semplicemente parlando alle intelligenze artificiali ivi installate.

Ma, come sempre in questi casi, con il progresso tecnologico avanza di pari passo la volontà dei malintenzionati di sfruttare exploit sempre nuovi per aggredire i nostri beni e i nostri dati personali, e sembra che gli home assistant siano il loro nuovo bersaglio principale. Uno studio recente ha dimostrato come alcuni malware siano in grado di aggirare in brevissimo tempo i meccanismi di difesa degli home assistant di Amazon e Google al fine di violare la nostra privacy e rubarci i nostri dati personali.

Se nei mesi scorsi le segnalazioni erano unicamente basate su casi presunti, lo studio proveniente dalla Germania avrebbe dimostrato come i due assistenti domestici possano essere manomessi da remoto per sottrarci i dati; tale tesi è stata dimostrata attraverso un percorso di sviluppo di alcune app da parte di una nota software house, che nello sviluppare queste applicazioni ha eseguito degli approfonditi test sull’effettiva sicurezza di questi dispositivi, che si sono dimostrati molto vulnerabili ad attacchi di tipo phishing. In particolare, una volta ottenuti i permessi di sicurezza degli home asisstant, è stato fatto in modo di utilizzare le stesse allo scopo di sottrarre dati sensibili all’utilizzatore, mostrando le falle di sicurezza del sistema, mascherando il tutto dietro degli apparentemente inoffensivi servizi di notiziario, minigiochi e simili, registrando in tal modo conversazioni e dati sensibili degli utenti sottoposti al test senza che questi fossero a conoscenza di tale eventualità.

In poche parole, autorizzando i due home assistant a eseguire una funzione innocua con la propria voce, questi non si limiterebbero in potenza a eseguire quella funzione, ma potrebbero restare silenziosamente attivi in background spiando e ascoltando tutto ciò che li circonda indebitamente e senza la nostra autorizzazione, inviando in seguito il tutto a server esterni a disposizione dei malintenzionati di turno interessati ai nostri dati sensibili.

Per dimostrare questa tesi, è stata sviluppata un’app che, una volta interpellata dalla voce dell’utente, restituiva il messaggio “Ci dispiace ma il servizio non è disponibile nel vostro Paese”, rimanendo appunto in seguito attiva in background per carpire dati. Ma non è tutto, perché alcuni minuti dopo questa applicazione si attivava, imitando la voce dell’home assistant, chiedendo all’utente le proprie credenziali per un aggiornamento di sistema, dimostrando pertanto la possibilità di un simile exploit.

Queste test-app, hanno permesso di trarne un report dettagliato poi inviato rispettivamente a Google e Amazon; quest’ultima ha risposto con una nota che “la fiducia dei clienti è importante per noi per questo conduciamo continue revisioni nell’ambito della sicurezza e della certificazione delle competenze. Abbiamo rapidamente bloccato l'abilità in questione e messo in atto nuove misure per prevenire e rilevare questo tipo di comportamento. È importante che i clienti sappiano che forniamo aggiornamenti di sicurezza automatici per i nostri dispositivi senza mai chiedere di condividere la password” (Traduzione a cura di dday.it); dello stesso tenore la risposta del colosso di Palo Alto.

Tweet