Senza la patch Amazon Alexa utilizzabile per spiare gli utenti

Check Point scopre una grave vulnerabilità nell'assistente digitale Amazon Alexa: fortunatamente è stata già risolta.

Gli assistenti digitali sono strumenti sempre più utilizzati a casa, in viaggio e sui propri dispositivi mobili. Amazon Alexa, comunemente noto come Alexa, è un assistente virtuale basato sull’intelligenza artificiale sviluppato dall’azienda guidata da Jeff Bezos.

Alexa è in grado di interagire con la voce, riprodurre musica, impostare allarmi e svolgere altre attività come il controllo di altri dispositivi intelligenti, ad esempio parte di un sistema per la smart home.

Gli utenti possono estendere le capacità di Alexa installando le cosiddette skill, funzionalità aggiuntive sviluppate da fornitori di terze parti che possono essere pensate come vere e proprie app.

Gli assistenti digitali di oggi sono già in grado di svolgere numerose operazioni e si rivelano utili per eseguire una dopo l’altra una serie di operazioni (routine), per rispondere alle domande degli utenti, per aggiungere promemoria e interagire con le proprie agende senza mai metter mano allo smartphone, per eseguire operazioni di ogni genere mentre si è alla guida senza distrarsi: Assistente vocale: come funziona e a cosa serve.

Secondo un recente studio il mercato degli assistenti digitali varrà qualcosa come 15 miliardi di dollari entro il 2025.

Parlando solamente dell’assistente digitale Amazon, nel 2019 sono stati venduti oltre 200 milioni di dispositivi compatibili con Alexa. Non solo dell’azienda di Bezos ma anche di centinaia di altri produttori: Amazon Alexa è compatibile con 60.000 dispositivi di migliaia di produttori.

Amazon ha risolto una grave vulnerabilità di sicurezza: avrebbe potuto esporre dati personali, registrazioni vocali e informazioni bancarie

Gli esperti di Check Point hanno ancora una volta individuato una grave lacuna di sicurezza in un prodotto usato da milioni di persone in tutto il mondo.

Poiché gli assistenti digitali fungono da punti di accesso verso dispositivi ed elettrodomestici di uso comune, la loro sicurezza è diventata un fattore critico e la privacy resta una priorità assoluta.

Nella sua ricerca, appena pubblicata, Check Point spiega che fino a qualche tempo fa alcuni sottodomini usati da Amazon e collagati al funzionamento di Alexa usavano configurazioni scorrette (Cross-Origin Resource Sharing, CORS).

I problemi di configurazione individuati da Check Point facilitavano attacchi di tipo Cross Site Scripting (XSS) e avrebbero potuto permettere ai criminali informatici di assumere il controllo degli altrui dispositivi sottraendo dati personali e informazioni sensibili.

Usando il ben noto script Frida, i tecnici di Check Point hanno ispezionato il traffico crittografato scambiato dall’app Alexa con i server Amazon.
Durante le indagini, gli esperti si sono accorti che preparando una semplice email con uno o più riferimenti ai domini Amazon non configurati in modo corretto, eventuali malintenzionati avrebbero potuto assumere il controllo dei dispositivi e dei dati di altri utenti.

Sfruttando un attacco Cross-site request forgery (CSRF), gli aggressori avrebbero potuto impersonificare un altro utente e:

  • Installare in modo silente skill sull’account Alexa altrui
  • Ottenere una lista delle skill installate sull’account di altri utenti
  • Rimuovere una skill installata
  • Acquisire le registrazioni vocali di Alexa
  • Raccogliere informazioni personali sulla vittima

Nel test condotto da Check Point, i tecnici hanno installato una skill malevola sull’account della vittima. Ovviamente a mo’ di test e su un account usato internamente dall’azienda.
Check Point tiene a sottolineare che skill malevolo non avrebbero lunga vita sullo store di Amazon perché il personale della società conduce severe indagini sulla qualità di ciascun componente aggiuntivo.

Quanto mostrato da Check Point mette in evidenza l’importanza di porre sotto la lente ogni aspetto di un assistente digitale. Anche le sviste all’apparenza di minore entità possono portare a conseguenze disastrose.

La vulnerabilità legata all’utilizzo dei vari sottodomini Amazon da parte di Alexa è stata comunicata all’azienda a giugno 2020 per opera di Check Point ed è stata successivamente risolta. Al momento non si conoscono quindi lacune di sicurezza sfruttabili da parte di malintenzionati per prendere di mira gli utenti di Alexa.

Ti consigliamo anche

Link copiato negli appunti