Nei mesi scorsi una previsione diffusa dalla società Canalys ha previsto che entro la fine del 2019 gli altoparlanti intelligenti, smart speaker, attivi a livello globale supereranno la soglia delle 200 milioni di unità. Si tratta di numeri impressionanti per un mercato in continua espansione che si basa sull’utilizzo di assistenti virtuali sviluppati da alcuni dei principali big della tecnologia per rispondere alle domande degli utenti in modo sempre più attento e dettagliato attraverso i comandi vocali.
Ma non è tutto oro ciò che luccica, e a fronte di una diffusione sempre più capillare degli smart speaker, negli ultimi mesi sono emerse numerose preoccupazioni legate al fattore della privacy. Alcune inchieste giornalistiche hanno svelato che alcuni dei principali esponenti del settore, da Google, ad Amazon fino ad Apple, impiegavano migliaia di dipendenti in carne ed ossa per ascoltare i comandi rivolti dagli utenti agli assistenti virtuali, con l’obiettivo di migliorare la qualità del servizio e la comprensione, ottimizzando così l’interazione con l’IA. A seguito delle polemiche, queste multinazionali hanno smesso di impiegare esseri umani per ascoltare le conversazioni degli utenti con gli assistenti virtuali. Ma ciò non significa che i problemi legati alla privacy e soprattutto alla sicurezza siano stati risolti. A dimostrare il contrario è infatti un rapporto realizzato da una società di sicurezza tedesca, che ha messo in evidenza le vulnerabilità di due dei principali smart speaker sul mercato, Google Home e Amazon Echo. Vulnerabilità che, se sfruttate a dovere, possono consentire a malintenzionati di spiare gli utenti o addirittura mettere in atto campagne di phishing all’insaputa delle vittime.
L’azienda tedesca Security Research Labs si è impegnata a sviluppare e mettere in pratica una serie di soluzioni per dimostrare l’effettiva vulnerabilità degli smart speaker in questione. Il primo passaggio è stato quello di sviluppare alcune applicazioni che supportano Google Assistant e Alexa, gli assistenti virtuali di Google e Amazon. Si tratta di app solo all’apparenza innocue con servizi di news, oroscopo, giochi e in generale quelli che si confermano tra i servizi più usati dagli utenti.
I ricercatori hanno quindi richiesto la pubblicazione sui rispettivi store ufficiali, ottenendo l’approvazione e riuscendo quindi ad aggirare i sistemi di controllo di Google e Amazon per bloccare app sospette o potenzialmente dannose.
A quel punto è stata messa in pratica la dimostrazione vera e propria che permette di scoprire come evitando i controlli, malintenzionati con le necessarie competenze potrebbero sfruttare app di terze parti per spiare gli utenti o rubare i loro dati personali attraverso phishing.
Partiamo dalle potenziali app spia. Il funzionamento è semplice. Quando l’app infetta è stata installata, Security Research Labs ha dimostrato come funziona. L’utente attiva lo smart speaker attraverso il comando vocale dedicato e, ad esempio, chiede la lettura dell’oroscopo. Dopo l’attivazione, però, l’app è in grado di mantenere attivo il microfono del dispositivo, registrando tutto ciò che avviene nell’ambiente circostante e inviando le informazioni ad un server privato.
Il secondo esempio mostrato dai ricercatori appare ancora più pericoloso, perché simula un tentativo di phishing. In questo caso, quando l’utente chiede qualcosa all’assistente vocale, quest’ultimo risponde che il servizio non è disponibile nel proprio paese. In seguito, l’app sviluppata dai ricercatori, riesce a simulare la voce degli assistenti vocali di Google o Amazon, informando l’utente della disponibilità di un aggiornamento e chiedendo quindi la password dell’account.
In questo modo le app fraudolente, sono in grado non solo di spiare gli utenti danneggiando irrimediabilmente la privacy, ma anche di carpire dati sensibili come le password degli account, mettendo in serio pericolo la sicurezza dei consumatori.
Security Research Labs ha provveduto a rimuovere le app sviluppate per l’occasione, fornendo tutte le informazioni necessarie ad Amazon e Google. E la risposta delle due aziende non si è fatta attendere. Oltre a ribadire il continuo lavoro destinato a mantenere alti i livelli di sicurezza, entrambe hanno promesso di implementare nuove soluzioni per prevenire e limitare questi problemi. E’ importante sottolineare, comunque, che al rilascio di aggiornamenti per gli assistenti virtuali, non viene mai richiesta la password per l’installazione.
Devi effettuare l'accesso per postare un commento.