Assistenti vocali di nuovo nei guai. Dopo le notizie di quest'estate, che li avevano visti al centro di numerose polemiche in materia di privacy, ora c'è una nuova preoccupazione: eventuali app dannose, sviluppate da terze parti, possono essere ospitate da Amazon e Google rendendo i loro smart speaker ancora più pericolosi di quanto già non lo siano
» Leggi: Quando parli a Siri, c'è chi ascolta i fatti tuoi!
» Leggi: Ora anche Microsoft ascolta i fatti tuoi
Come riportato da Ars Technica, gli hacker di Whitehat presso i Security Research Labs tedeschi hanno sviluppato otto app (quattro "abilità" Alexa e quattro "azioni" di Google Home) che hanno superato tutti i test di sicurezza di Amazon e Google.
Queste "spie intelligenti", come le chiamano i ricercatori, possono essere di due diversi tipi: ci sono le app di intercettazione, che sorprendono di nascosto gli utenti e registrano silenziosamente tutte le conversazioni captabili dal dispositivo e le app di phishing, che si appropriano delle password degli utenti.
A fronte delle domande poste dall'utente, che chiedeva informazioni circa il suo oroscopo giornaliero, le app di intercettazione hanno risposto con le informazioni richieste e poi sono rimaste in silenzio, dando l'impressione di non essere più in esecuzione; in realtà, invece, stavano registrando tutte le conversazioni captabili, per poi mandarne una copia al server designato dallo sviluppatore.
Le app di phishing, invece, seguono un percorso leggermente diverso: rispondono cioè con un messaggio di errore che afferma che l'abilità o l'azione non è disponibile nel paese dell'utente. Quindi diventano silenziose per dare l'impressione che l'app non sia più in esecuzione. Dopo circa un minuto, infine, le app usano una voce che imita quelle utilizzate da Alexa e Google Home per dichiarare che è disponibile un aggiornamento del dispositivo e richiede all'utente una password per l'installazione.
SRLabs ha comunicato privatamente i risultati della ricerca ad Amazon e Google i quali, rimosse prontamente le app, hanno affermato che stanno lavorando per modificare i loro processi di approvazione, affinché azioni analoghe a quelle compiute dai ricercatori vengano stroncate sul nascere. Speriamo sia davvero così.
