Alexa: un link per mettere in ginocchio l'assistente e la privacy

Bastava un link per mettere in crisi Alexa

Un solo click su un collegamento malevolo per compromettere la privacy dell'utente facendo leva su una vulnerabilità dell'assistente virtuale.
Bastava un link per mettere in crisi Alexa
Un solo click su un collegamento malevolo per compromettere la privacy dell'utente facendo leva su una vulnerabilità dell'assistente virtuale.

Arriva dal team di Check Point Research un’allerta riguardante Alexa: l’assistente virtuale di Amazon e l’ecosistema di skill che fin qui ha contribuito a decretarne il successo sono stati interessati da una vulnerabilità potenzialmente in grado di compromettere non solo l’esperienza di utilizzo, ma anche la privacy degli utenti vittime di potenziali attacchi. Fortunatamente ora è tutto risolto.

Una vulnerabilità per Amazon Alexa (ora risolta)

Da quanto emerso era sufficiente un link malevolo verso il sito ufficiale, magari inoltrato via email e camuffato da collegamento a un’offerta in corso o per il download di un’applicazione, per dare il via all’esecuzione di alcune azioni a insaputa del malcapitato:

  • installare in modo silenzioso nuove skill;
  • ottenere un elenco delle skill collegate all’account;
  • rimuovere una skill installata;
  • ottenere la cronologia dei comandi vocali impartiti dall’utente;
  • ottenere informazioni personali dell’utente.

Le tecniche impiegate sono state Cross-Origin Resource Sharing (CORS) e Cross-Site Scripting (XSS). I ricercatori hanno reso noti i dettagli della falla solo oggi, dopo che come citato in apertura Amazon è intervenuta correggendo quanto necessario per garantire il funzionamento sicuro di Alexa. La segnalazione di Check Point Research al gruppo di Bezos risale al mese di giugno.

[gallery_embed id=117088]

Si tratta ad ogni modo di un’ennesima testimonianza di come la sempre più capillare diffusione dei dispositivi legati a smart home e Internet of Things, non solo quelli della gamma Echo, sia accompagnata da un moltiplicarsi delle minacce che interessano questi ambiti.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
14 ago 2020
Link copiato negli appunti