Smart speaker e privacy: nuovo allarme da SRLabs

Il team di Security Research Labs ha sviluppato app e skill malevole per gli smart speaker con Alexa e Assistente Google: non sono state bloccate.
Il team di Security Research Labs ha sviluppato app e skill malevole per gli smart speaker con Alexa e Assistente Google: non sono state bloccate.

I sempre più diffusi smart speaker costituiscono una categoria di dispositivi profondamente integrata nella nostra quotidianità e, di conseguenza, nella sfera più privata e intima delle nostre vite. Sono dotati microfoni potenzialmente in grado di captare tutto quanto accade nelle stanze delle nostre case, anche se produttori come Amazon e Google hanno dimostrato di volersi impegnare a fondo per assicurare un adeguato livello di tutela della privacy.

App malevole per gli smart speaker con Alexa e Assistente Google

C’è però ancora molto lavoro da fare su questo fronte. L’ennesimo allarme è lanciato oggi dal team di Security Research Labs che ha dimostrato come si possa trasformare un altoparlante intelligente in un mezzo per spiare gli utenti e per carpirne informazioni sensibili. I ricercatori hanno sviluppato skill e applicazioni contenenti codice malevolo destinate agli speaker con l’intelligenza artificiale di Alexa (come quelli della gamma Echo) e dell’Assistente Google, riuscendo a distribuirle attraverso gli store ufficiali senza che venissero in alcun modo bloccate.

Mediante i software, uno dei quali è stato pubblicato come un’innocua app per l’oroscopo, il team ha potuto intercettare dati come le password degli account. Tutto questo senza destare alcun sospetto nell’utente.

Come si può vedere nei due filmati dimostrativi allegati a questo articolo, le app riproducono un finto messaggio d’errore che ne comunica l’improvvisa interruzione del funzionamento, ma in realtà l’ascolto continua e tutto ciò che viene pronunciato nei secondi successivi nell’ambiente in cui si trova lo speaker viene registrato e trascritto. Nel caso del dispositivo Echo è bene precisare che il LED circolare luminoso che indica l’ascolto rimane acceso e questo potrebbe bastare per far capire all’utente che la registrazione è ancora attiva. Se non lo si sta osservando, però, risulta pressoché impossibile accorgersene.

Il team di Security Research Labs ha chiamato queste skill e app Smart Spies, comunicando ad Amazon e a Google la loro natura dopo aver portato a termine l’esperimento, così che potessero essere immediatamente rimosse dagli store. È dunque necessaria un’attenzione maggiore in fase di approvazione delle componenti di terze parti da distribuire ai dispositivi.

Fonte: SRLabs
Link copiato negli appunti

Ti potrebbe interessare

Link copiato negli appunti