Ecco come un hacker può sfruttare Google Home e Amazon Echo per il phishing
La società di sicurezza tedesca Security Research Labs ha dimostrato come è possibile bypassare "con facilità" i sistemi di sicurezza degli assistenti virtuali di Google e Amazon per spiare gli utenti e ottenere password e dati sensibili
Gli assistenti virtuali di Google e Amazon sono finiti nuovamente sotto i riflettori per un problema legato al funzionamento delle app di terze parti, in grado di acquisire password e dati personali degli utenti a loro insaputa.Dopo i numerosi casi su presunte o reali violazioni della privacy segnalati nei mesi scorsi, a lanciare questa volta l’allarme è l’azienda tedesca Security Research Labs che dopo aver sviluppato una serie di app dedicate ad Alexa e Google Assistant ha dimostrato come le stesse siano state abili nell’effettuare veri e propri tentativi di phishing accedendo così a dati sensibili.
Come le app "spia" possono registrare le conversazioni
Dopo aver superato tutte le fasi di sicurezza imposte da Google e Amazon per entrare a far parte della piattaforma, le app sono state testate da SRLabs con risultati che offrono effettivamente una nuova inquietante visione sulle problematiche legate ai due ecosistemi. Mascherate da innocui servizi di news, oroscopo e giochi (come “tira i dadi” o “genera un numero casuale”), le estensioni di SRLabs sono riuscite nell’intento di registrare conversazioni o chiedere agli utenti le informazioni di accesso al proprio account.L’attivazione delle app spia avviene fondamentalmente in due passaggi: nella prima fase l’utente, dopo aver svegliato l’assistente virtuale con i comandi “Ok Google” o “Ehi Alexa”, chiede la lettura dell’oroscopo del giorno relativo al proprio segno. Una volta fornite le informazioni richieste l’app rimane attiva all’insaputa dell’utente e - qui inizia la seconda fase - provvede a registrare le conversazioni successive, inviando infine i file raccolti ad un server privato.
Il tentativo di phishing del finto assistente virtuale
Per effettuare un vero e proprio phishing, invece, SRLabs ha sviluppato un’app che alla richiesta di informazioni da parte dell’utente risponde con il messaggio “Siamo spiacenti, il servizio non è disponibile nel tuo Paese”. Anche in questo caso l’app è rimasta silenziosamente attiva e dopo alcuni minuti, simulando la voce degli assistenti virtuali di Google e Amazon, ha segnalato la presenza di un aggiornamento con successiva richiesta della password dell’account all’ignaro consumatore.SRLabs ha spiegato di aver manipolato i comandi che richiamano l’intelligenza artificiale, compreso il comando di “stop”, consentendo così alle applicazioni di rimanere attive e in ascolto per diversi secondi dopo aver espletato la loro apparente funzione. In questo modo tutte le conversazioni avviate dall’utente subito dopo sono state rilevate dall’app spia e immagazzinate in un server online oppure, nel caso del phishing, è stato chiesto un finto aggiornamento per poter memorizzare i dati di accesso.
21/10/2019
Nessun commento:
Posta un commento