Alexa trovata vulnerabile dai ricercatori di Check Point, a rischio informazioni personali e cronologia delle conversazioni degli utenti

Secondo i ricercatori di sicurezza informatica, vulnerabilità  nei dispositivi domestici intelligenti Alexa di Amazon avrebbero potuto consentire ad hacker di accedere alle informazioni personali e alla cronologia delle conversazioni degli utenti.

Scritto da

Simone Ziggiotto

il

I ricercatori di sicurezza informatica di Check Point Research hanno trovato vulnerabilità nei dispositivi domestici intelligenti di Amazon con Alexa che avrebbero potuto consentire a malintenzionati di accedere alle informazioni personali, alla cronologia delle conversazioni e di installare o rimuovere ‘skill’ su un dispositivo all’insaputa dei proprietari.

Un assistente virtuale intelligente (IVA) o assistente personale intelligente (IPA) è un agente software in grado di eseguire attività o servizi per un individuo in base a comandi o domande a voce. Amazon Alexa, comunemente noto come "Alexa", è un assistente virtuale basato sull’intelligenza artificiale sviluppato da Amazon, in grado di interagire con la voce, riprodurre musica, impostare allarmi e altre attività, incluso il controllo di dispositivi intelligenti come parte di un sistema di automazione domestica. Gli utenti possono estendere le capacità di Alexa installando ‘skills’, che sono funzionalità aggiuntive sviluppate da fornitori di terze parti che possono essere considerate applicazioni guidate dalla voce. Si sono contati, all’inizio di quest’anno, oltre 200 milioni di dispositivi basati su Alexa venduti.

Poiché oggi gli assistenti virtuali servono da punti di accesso agli elettrodomestici e ai dispositivi intelligenti delle persone, la sicurezza di questi è diventata fondamentale, con la massima priorità al mantenere alta la privacy degli utenti. Da qui la decisione di Check Point Research di analizzare il servizio, arrivando a trovare vulnerabilità di sicurezza in alcuni sottodomini di Amazon/Alexa che avrebbero potuto permettere ad un hacker di rimuovere/installare ‘skill’ sull’account Alexa della vittima selezionata, accedere alla sua cronologia vocale e ai dati personali. L’attacco richiedeva solo un singolo click da parte dell’utente su un link dannoso creato dall’hacker e l’interazione vocale della vittima.

In particolare, le vulnerabilità trovate avrebbero potuto consentire ad un utente malintenzionato di:
– Installare skill sull’account Alexa di un utente, a sua insaputa
– Ottenere un elenco di tutte skills installate sull’account Alexa dell’utente, a sua insaputa
– Rimuovere silenziosamente un’abilità installata dall’utente, a sua insaputa
– Ottenere la cronologia delle interazioni vocali della vittima con la sua Alexa, a sua insaputa
– Ottenere le informazioni personali della vittima, a sua insaputa

Check Point Research ha realizzato il video che si può vedere qui sotto in cui viene dimostrata la vulnerabilità di sicurezza trovata di Alexa.

Check Point Research dettaglia le vulnerabilita’ trovate su Amazon Alexa (inizio 2020)

La conclusione del rapporto di Check Point Research:
"Gli assistenti virtuali vengono utilizzati nelle case intelligenti per controllare tutti i giorni i dispositivi IoT come luci, A/C, aspirapolvere, elettricità e intrattenimento. Sono cresciuti in popolarità nell’ultimo decennio per svolgere un ruolo nella nostra vita quotidiana e sembra che con l’evoluzione della tecnologia diventeranno più pervasivi. Ciò rende gli assistenti virtuali un bersaglio interessante per gli aggressori che cercano di rubare informazioni private e sensibili o di interrompere l’ambiente domestico intelligente di un individuo. I dispositivi IoT sono intrinsecamente vulnerabili e mancano ancora di una sicurezza adeguata, il che li rende bersagli attraenti per gli attori delle minacce. I criminali informatici sono alla continua ricerca di nuovi modi per violare i dispositivi o utilizzarli per infettare altri sistemi critici. Questa ricerca ha presentato un punto debole in tali dispositivi IoT. Devono essere tenuti sempre al sicuro per impedire agli hacker di infiltrarsi nelle nostre case intelligenti".

Solitamente quanto vulnerabilità vengono rese pubbliche sono già state risolte, quindi quelle rilevate da Check Point Research non dovrebbero essere più un problema. 

Per i dettagli tecnici delle vulnerabilità trovate si può visitare il sito research.checkpoint.com

Impostazioni privacy