Gli Amazon Echo possono auto-hackerarsi: colpa di un exploit - Aggiornata

Dopo aver parlato degli insoliti utilizzi del robot Amazon Astro, i device Amazon tornano al centro delle notizie a causa di una preoccupante ricerca che spiega che Amazon Echo può essere hackerato a causa di un exploit.

In particolare, la ricerca spiega che gli hacker possono prendere di mira gli smart speaker Amazon Echo e forzarli ad aprire porte, effettuare chiamate telefoniche e pagamenti non autorizzati, ma anche controllare tutti i dispositivi domestici smart, arrivando a causare degli incidenti domestici.

La ricerca, condotta dalla Royal Holloway University di Londra e dall'Università di Catania, spiega che esistono diversi exploit dei comandi vocali di Echo: il device, infatti, può essere attivato usando le parole "Alexa" o "Echo", mentre i suoi filtri di sicurezza possono essere bypassati pronunciando la parola "Yes" al momento giusto. Inoltre, è stata anche scoperta una "Full Voice Vulnerability", o FVV, che permette ad Echo di darsi dei comandi da solo pronunciandoli "ad alta voce", auto-impartendosi degli ordini provenienti da remoto.

In altre parole, questa vulnerabilità potrebbe permettere ai device Echo di hackerarsi "da soli", cioè senza la presenza fisica di un malintenzionato nelle prossimità del dispositivo smart. Proprio perché l'hack utilizza dei comandi auto-imposti, i suoi scopritori l'hanno chiamato AvA, o "Alexa vs. Alexa". Secondo i ricercatori, comunque, si tratta del "primo exploit della vulnerabilità che permette ai device Amazon Echo di darsi autonomamente dei comandi e che permette ad un utente malevolo di prenderne il controllo per un periodo prolungato di tempo".

L'hack, secondo il paper della ricerca pubblicato online, funziona sui device Echo Dot di terza e di quarta generazione e ha un funzionamento piuttosto semplice: l'hacker può connettersi via Bluetooth al device Echo vulnerabile, utilizzando successivamente un'app di sintesi vocale text-to-speech per la trasmissione dei comandi vocali attraverso Echo Dot.

In questo modo, il dispositivo emette gli ordini da impartire a sé stesso e, utilizzando la giusta formulazione della frase e i giusti tempi tra una parola e l'altra, li recepisce senza la necessità di alcun utente fisico nelle vicinanze e, soprattutto, bypassando ogni forma di sicurezza presente sui device Amazon. I ricercatori hanno anche pubblicato un video dell'exploit in azione, che potete vedere in cima a questa notizia.

AGGIORNAMENTO: Amazon ha pubblicato una patch risolutiva del problema con gli speaker Echo Dot, che è stata accompagnata da una dichiarazione dell'azienda che spiega che "Per Amazon, la privacy e la sicurezza sono parti fondamentali del modo in cui progettiamo e forniamo ogni device, ogni funzione e ogni esperienza. Apprezziamo il lavoro dei ricercatori di sicurezza indipendenti che aiutano a porre alla nostra attenzione ogni potenziale problema e ci impegniamo a lavorare con loro per rendere più sicuri i nostri device. Abbiamo risolto il problema di auto-risveglio da remoto con Alexa Skills causato da periodi prolungati di silenzio dimostrato dai ricercatori. Abbiamo anche messo all'opera dei sistemi per monitorare ogni potenziale comportamento malevolo, compresi i re-prompt silenziosi. Tutte le Skill malevole che identifichiamo vengono bloccate durante la certificazione e rapidamente disattivate, e siamo costantemente all'opera per migliorare questi meccanismi per proteggere ulteriormente i nostri clienti."