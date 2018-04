I ricercatori di una società di sicurezza chiamata Checkmarx sono riusciti a sfruttare un exploit per persuadere i device Alexa di Amazon a spiare costantemente i propri utenti. Vediamo assieme come hanno fatto.

Normalmente Alexa smette di ascoltare i propri utenti dopo ogni sessione, come racconta Erez Yalon di Checkmarx alla testata online Threatpost. Eppure i ricercatori sono riusciti a sviluppare una Skill malevola per l'assistente vocale che, di fatto, non soltanto aggirava questo limite costringendo il servizio di Amazon ad ascoltare costantemente i propri utenti, ma mandava anche una accurata trascrizione delle loro conversazioni ai ricercatori.

Per sviluppare la Skill Checkmarx ha manipolato il codice "ShouldEndSession" presente direttamente nella libreria JavaScript di Alexa. Si tratta del codice che regola le sessioni dell'assistente vocale, terminandole ogni qualvolta il device non riceva comandi dal proprio utente per un breve lasso di tempo. Così i ricercatori hanno autorizzato Alexa ad ascoltare continuamente, a prescindere dai comandi vocali ricevuti.

In questo caso, se la sessione di Alexa non viene terminata ma il device non riesce a decifrare il comando che le è stato dato, l'assistente vocale normalmente chiede ai propri utenti di riformulare la frase. Un problema, visto che questo avrebbe potuto allertarli. Così i ricercatori hanno sostituito il reprompt di default con uno vuoto, in modo da tenere la sessione d'ascolto aperta senza che gli utenti potessero venirne a conoscenza.

Eppure i device Amazon Echo che montano Alexa, allo stesso modo delle webcam dei laptop, hanno un led blu che avvisa quando il device è in ascolto. Un problema che non è stato risolto, anche se normalmente gli utenti che usano questi smart speaker non guardano mai il device quando impartiscono i comandi. In un certo senso è proprio il loro scopo, spiegano i ricercatori a Threatpost.

Quindi i ricercatori a questo punto hanno ammaestrato l'assistente vocale affinché mantenesse la sessione d'ascolto sempre aperta, senza avvisare di questo la vittima. Il passo successivo era manipolare il sistema affinché tenesse traccia di ogni conversazione, trascrivendo parola per parola. In questo caso è stato sufficiente manipolare ancora una volta il codice di Alexa che, normalmente, identifica solo alcune parole prestabilite e contenute in una lista precisa.

I ricercatori hanno condotto l'operazione con le migliori delle intenzioni, la Skill non è stata resa pubblica e la vulnerabilità è stata prontamente comunicata ad Amazon che ha provveduto a risolverla.