Un attacco hacker può trasformare Amazon Echo in uno spione. Ma è molto complesso

Un attacco hacker può trasformare Amazon Echo in uno spione. Ma è molto complesso

Amazon Echo può diventare strumento di ascolto occulto se vittima di un complicato attacco hacker. La società è già intervenuta neutralizzando alcune falle, riducendo così drasticamente la possibilità reale che si possano verificare attacchi di questo genere

di pubblicata il , alle 10:41 nel canale Sicurezza
Amazon
 

Un gruppo di ricercatori del colosso cinese Tencent, ha mostrato la possibilità di condurre un attacco sugli smart speaker Amazon Echo, che tuttavia per avere successo prevede sia l'accesso fisico al dispositivo, sia lo sfruttamento di una vulnerabilità dell'interfaccia web di Alexa. In realtà quindi le azioni richieste per compromettere il dispositivo sono varie e complesse, e non esattamente alla portata della maggior parte dei malintenzionati o, almeno, di coloro i quali cercano un modo facile ed agevole per "origliare" tramite un assistente vocale.

E' comunque interessante osservare che la tecnica che hanno sperimentato i ricercatori prevede la possibilità di modificare un dispositivo Echo per trasformarlo in vettore d'attacco per aggredire altri dispositivi Echo. Per fare ciò i ricercatori hanno dovuto rimuovere un chip di memoria flash dal dispositivo, modificando il firmware per ottenere l'accesso di root e saldarlo nuovamente sulla scheda logica.

Una volta fatto ciò il gruppo ha collocato lo speaker nella stessa rete WiFi di altri Echo non modificati. I ricercatori hanno poi sfruttato una serie di vulnerabilità lato web dell'interfaccia di Alexa su Amazon.com (cross-site scripting, URL redirection, HTTPS downgrade) per ottenere l'accesso ai dispositivi Echo di un account Amazon preso di mira. In questo modo hanno avuto la possibilità di avere il pieno controllo del dispositivo, comprese le possibilità di registrare occultamente audio e di riprodurre qualsiasi messaggio/suono.

I ricercatori hanno già notificato le vulnerabilità ad Amazon, la quale ha già provveduto a neutralizzarle con l'aggiornamento di sicurezza di luglio. Allo stato attuale delle cose la possibilità reale di un attacco del genere è molto bassa dato che il malintenzionato dovrebbe anzitutto sapere come smontare un dispositivo Amazon Echo, individuare il chip da modificare, procedere alla modifica e via discorrendo. Si potrebbe trattare di una pratica sfruttabile in quegli ambienti dove sono presenti un vasto numero di dispositivi Echo collegati ad una stessa rete, come ad esempio in alcuni hotel, dove per altro sarebbe più facile ottenere l'accesso fisico ad un dispositivo senza destare particolari sospetti o introdurre un dispositivo già modificato.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
ComputArte17 Agosto 2018, 16:25 #1

Ancora con tutta sta FUFFA!?!?!

Qui si parla di un attaccante ESTERNO all'infratruttura "generosamente" offerta da Amazon....e nessuno fa notare che Amazon ha messo su questo "teatrino" con una periferica di input di dubbio gusto che ha la decodifica di TUTTO il parlato, lato server......

Alexa è già una SPIA!...e lavora per Amazon....che ascolta tutto e sta al tavolo insieme a Google, Facebook, Apple e le altre furbette del pianetino che stanno lucrosamente operando scambiandosi i dati trafugati a tutti coloro che stanno utilizzando tecnologia "smart".....sarebbe ora di aprire gli occhi!!!!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^