Quanto è sicura Alexa e quanto invade la nostra privacy? Ce lo svela uno studio

Alexa di Amazon a volte salva le vite, come è successo a ottobre nel caso di una donna vittima di un attacco epilettico, ma in molti altri casi suscita mille dubbi riguardo la tutela della privacy dei suoi utenti: alcuni esperti, dunque, hanno cercato di delineare una serie di problemi e comprenderne l’estensione.

Lo studio in questione è stato condotto dalla Ruhr-Universität Bochum e dalla North Carolina State University, della quale l’assistente-professore e coautore dell’analisi Anupam Das ha dichiarato: “Quando le persone usano Alexa per giocare o cercare informazioni, spesso pensano di interagire solo con Amazon, ma molte delle applicazioni con cui interagiscono sono state create da terze parti e abbiamo identificato diversi difetti nell'attuale processo di verifica che potrebbero consentire a tali terze parti di accedere alle informazioni personali o private degli utenti”.

I ricercatori hanno dunque utilizzato un software automatizzato per studiare nel dettaglio ben 90.194 skill uniche di Alexa: il primo problema, scoperto immediatamente nell’analisi, consiste nella mancata verifica da parte del colosso di Jeff Bezos dell’autenticità del nome dichiarato dagli sviluppatori. In altre parole, la società non controlla se un account registrato come “Nutella Ferrero”, per esempio, è realmente gestito dalla famosa compagnia italiana. Di conseguenza, anche i malintenzionati possono mascherarsi sotto un nome più affidabile inducendo gli utenti ignari a scaricare tale app per Alexa facilitando così eventuali tentativi di phishing.

Altro problema, invece, riguarda la possibilità di invocare più abilità di Alexa con la medesima frase: “Questo è problematico perché, se pensi di attivare un'abilità, ma in realtà ne stai attivando un'altra, questo crea il rischio che condividerai le informazioni con uno sviluppatore con cui non avevi intenzione di condividere le informazioni. Ad esempio, alcune competenze richiedono il collegamento a un account di terze parti, come un account di posta elettronica, bancario o di social media”.

Fortunatamente, Amazon propone già alcune protezioni per la privacy soprattutto per dati personali come posizione, nome completo e numero di telefono, ma gli esperti che hanno condotto questo studio hanno scoperto che il 23,3% delle 1.146 competenze che richiedevano l'accesso a dati sensibili non disponeva di politiche sulla privacy o queste erano fuorvianti o incomplete.

Il consiglio è dunque quello di fare molta attenzione a quali skill personalizzate vengono scaricate tramite l’app di Amazon Alexa, in attesa che l’azienda inizi a verificare l’identità degli sviluppatori di skill.

Intanto, l’ecosistema di Alexa si è allargato grazie all’inclusione di Xbox, la console di casa Microsoft.