Amazon Alexa e Google Home, ora che cominciano a entrare sempre più nella nostra vita quotidiana, si trovano sempre più spesso sotto i riflettori per questioni legate alla privacy.

Ve ne torniamo a parlare perché in queste ultime ore è uscito un nuovo caso che li vede coinvolti in alcuni episodi di phishing dovuti ad app di terze parti. In base ad alcune prove pubblicate in esclusiva dai colleghi di SRLabs, gli altoparlanti smart che utilizzano Alexa e Google Assistant sarebbero in grado di fungere da veri e propri dispositivi spia che potrebbero rubare i dati sensibili degli utenti. Come? Continuando a registrare le conversazioni nonostante le operazioni fossero apparentemente concluse.

Per dimostrare tutto questo i ricercatori di SRLabs hanno creato delle app con un codice malevolo, quattro per Alexa e altrettante per Google Home, sette di queste sotto la veste di oroscopi, una come un generatore numerico. Tutte quante sono state approvate dai sistemi di sicurezza di entrambe le compagnie.

Come ingannare gli utenti di Alexa e Google Home

Uno dei due trucchi sta fondamentalmente nel far credere all’utente che la conversazione con l’assistente vocale sia terminata, quando invece così non è, l’altro escamotage sta nell’utilizzare l’esca dell’aggiornamento software per rubare dati sensibili come nome utente, password o informazioni su carte di credito o e-mail.

Ad esempio, chiedere “Alexa, vai con l’oroscopo fortunato di oggi per il Toro” e poi stoppare la conversazione, ricevendo la relativa conferma dell’assistente, non porterà affatto alla conclusione della chiacchierata, ma l’app smetterà di partecipare soltanto apparentemente, rimanendo in ascolto. Ecco un esempio:

Il trucchetto per rubare password e dati sensibili

Anche rubare la password o altri dati sensibili sarebbe piuttosto semplice perché, chiedendo una Skill ad Alexa, quest’ultima vi restituirà un messaggio di errore (la non disponibilità della detta skill nel proprio paese ad esempio). Così facendo, dopo una pausa in cui credete che l’operazione sia terminata, l’app malevola vi informerà con una voce pressoché uguale a quella di Alexa sulla disponibilità di un nuovo aggiornamento per il dispositivo, chiedendo utente e password per procedere (ad esempio). E il gioco è fatto.

Tutto questo vale anche per i Google Home, che con un procedimento molto simile possono essere sfruttati dai malintenzionati per rubare le informazioni sensibili degli utenti.

SRLabs ha rimosso tutte le app di dimostrazione e ha prontamente segnalato il problema a Google e Amazon, che hanno prontamente dichiarato di mettersi subito al lavoro per cambiare i processi di approvazione al fine di impedire che tutto questo possa succedere in futuro.