Cerca nel blog

2019/10/25

Come rubare password con Alexa o Google Home

Caso mai servissero altri promemoria che installarsi in casa o in ufficio un microfono aperto e connesso a Internet non è una buona idea in termini di sicurezza e privacy, gli esperti di Security Research Labs hanno creato una dimostrazione di come gli assistenti vocali Alexa di Amazon o Google Home possono essere manipolati per rubare password o altri dati personali ai loro utenti oppure per ascoltare le loro conversazioni.

Su questi dispositivi è possibile installare delle specie di app, chiamate skill per Alexa e Action per Google Home, che ne estendono le capacità.

In due video dimostrativi, gli esperti mostrano come è possibile ingannare gli utenti:




La vittima invoca, con un comando vocale, un’app di oroscopi (creata dai ricercatori). L’app risponde dicendo che il servizio non è disponibile nel paese dell’utente, e così l’utente pensa che l’app sia terminata. Ma in realtà l’app è ancora attiva, e nelle sue istruzioni c’è un silenzio di un minuto, inserito grazie a un difetto di programmazione: la sequenza di caratteri U+D801 - punto - spazio, che non è pronunciabile, viene “pronunciata” come silenzio.

Dopo il minuto di silenzio, che fa pensare all’utente ancora più chiaramente che l’app (skill/action) precedente sia finita, l’assistente vocale annuncia che è disponibile un aggiornamento del dispositivo e chiede di pronunciare la password dell’account per autorizzarne l’installazione.

Né Google né Alexa chiederebbero mai la password in questo modo, ma inevitabilmente ci sono tanti utenti che non lo sanno e quindi pensano che la richiesta sia assolutamente legittima.

Se l’utente cade nella trappola e dice la propria password, questa viene registrata dall’app ostile. I gestori dell’app possono a questo punto usare questa password per prendere il controllo dell’account Amazon o Google, con tutte le conseguenze del caso.

Nessun commento: