Scoperte falle sicurezza Amazon Echo e Google Home

webinfo@adnkronos.com

Analisti tedeschi hanno rilevato falle di sicurezza nel processo di attivazione delle app per gli smart speaker di Amazon e Google. Secondo quanto riporta il settimanale tedesco "Der Spiegel" i ricercatori dei Security Research Labs (SRLabs) di Berlino sono stati in grado di violare i controlli di sicurezza e di installare - attraverso gli app store ufficiali per le applicazioni Amazon Echo e Google Home - applicazioni attraverso le quali gli utenti di questi dispositivi potevano essere ascoltati senza esserne consapevoli. 

I ricercatori di SRLabs hanno innanzitutto introdotto varianti innocue delle 'Skills' su Amazon e 'Actions' su Google e ne hanno richiesto l'attivazione. Queste app sono in grado di rispondere alle domande degli utenti, ad esempio - nei test tedeschi - con funzionalità sugli oroscopi, simulando al termine dell'operazione la disattivazione del dispositivo.  

Tuttavia, dopo il primo controllo di sicurezza, le app sono state modificate in modo tale da essere ancora in ascolto dopo lo stop richiesto dagli utenti e di inviare a un server nascosto il contenuto delle registrazioni. A facilitare il compito di eventuali hacker l'assenza di verifiche successive alla prima attivazione delle app. Non solo: se programmate, le app 'spia' simulavano un problema di autenticazione richiedendo agli utenti di pronunciare le password dei propri account.  

In questa versione 'basica' i dispositivi in realtà rivelano - attraverso i rispettivi segnali luminosi colorati - che è in corso una registrazione del parlato: l'esperimento dei ricercatori tedeschi in ogni caso evidenza falle nell'apertura delle app o nell'attivazione degli aggiornamenti per gli store Amazon e Google. 

I due colossi, informati dagli SRLab, hanno ammesso di considerare il rischio di registrazioni 'rubate' sufficientemente realistico. Un portavoce di Amazon ha spiegato al settimanale tedesco che il gruppo "ha adottato misure di protezione per rilevare e prevenire questo tipo di comportamento" ma senza chiarire di quali interventi si tratti. 

Quanto a Google ha ribadito che la società "elimina qualsiasi azione contraria alle nostre linee guida" affermando di avere "adottato sistemi supplementari per impedire in futuro" ulteriori violazioni.