Rubare password con Alexa e Google Home, o spiare conversazioni, sembra non essere più solo un’ipotetica prossima puntata di Black Mirror: in un lungo report a cura di ArsTechnica vengono mostrati quattro modi per violare la nostra privacy che hanno come protagonisti i dispositivi smart che le due aziende tentano in tutti i modi di farci acquistare ed usare.

Tutte le modalità utilizzano le skill di Alexa e le azioni di Google Home: queste possono essere richiamate in qualsiasi momento chiedendo all’assistente digitale. Le quattro “app” hanno tutte passato i controlli di sicurezza di Amazon e Google, consentendo ad un gruppo di hacker di utilizzare i prodotti con a bordo Amazon Echo o Google Assistant come delle vere e proprie “spie intelligenti”. In questo caso, il gruppo SRLabs ha voluto dimostrare come fosse facile aggirare la sicurezza delle due aziende, così da poter portare alla loro attenzione la possibilità reale di attacchi del genere.

La quasi totalità delle app con a bordo il codice malevolo sono state mascherate da Oroscopo, mentre in un caso l’app è stata mascherata da generatore di numeri casuali.

Come vengono rubati i dati con Alexa

Su Amazon Alexa sono presenti le Skill, ovvero dei comandi che possiamo impartire all’assistente e ricevere in risposta contenuti o informazioni. Nel caso dell’oroscopo, quando veniva chiesto “Hey Alexa, chiedi a Il mio Oroscopo Fortunato di darmi l’oroscopo per il Toro” il dispositivo con a bordo Alexa recitava l’oroscopo del giorno. L’app però è stata modificata successivamente all’ammissione da parte di Amazon per non venir mai terminata, e non solo: l’app smette di parlare e pertanto dà l’impressione che sia conclusa, ma in realtà rimane in ascolto perpetuo di tutto ciò che diciamo.

Ascoltare le conversazioni con Alexa

Differente invece il funzionamento dell’app per rubare la password dell’account Amazon. Una volta chiesta la Skill ad Alexa, questa restituisce un messaggio di errore, ad esempio dicendo che la skill non è disponibile nel proprio paese. L’app si silenzia, per dare l’impressione di essere terminata.

Dopo un minuto, utilizzando una voce molto simile a quella di Alexa, la skill annuncia un update per il dispositivo e chiede all’utente la password per procedere con l’installazione.

Rubare le password con Alexa

Come vengono rubati i dati con Google Home

Stesso identico scenario per Google Home, dove qui invece delle skill troviamo le azioni. Anche in questo caso è possibile ascoltare le conversazioni o rubare password con Google Home, o in generale qualsiasi dispositivo con a bordo Google Assistant. Questo è il video che spiega il funzionamento dell’app che consente di spiare le conversazioni su Google Home.

Ascoltare le conversazioni con Google Home

Mentre qui troviamo il video che mostra come si possano anche rubare password con Google Home. Il funzionamento tra i due metodi è simile, cambia solo ovviamente il modo pratico in cui vengono realizzate Skill o Azioni per i due assistenti.

Rubare password con Google Home

Assistenti Alexa e Google Home: attenzione alla privacy

Rubare password con Alexa o Google Home, o ascoltare le nostre conversazioni private, non è poi così complicato. Le due aziende, una volta ricevuta la notifica da parte di SRLabs della presenza di questo tipo di azioni/skill sulla loro piattaforma, si sono date subito da fare per aumentare la sicurezza del processo di revisione. In questo modo le aziende tenteranno di scongiurare pericoli per la privacy degli utenti.

Il nostro consiglio rimane quello di utilizzare il buonsenso: affidiamoci sempre a fonti affidabili per utilizzare Azioni o Skill di terze parti, e se possiamo disabilitiamo totalmente la possibilità per gli speaker smart di ascoltare le nostre conversazioni, quando possibile.