App malevole possono trasformare i dispositivi Google Home e Amazon Alexa in efficaci spie

I ricercatori di SRLabs tornano a segnalare comportamenti scorretti posti in essere da alcune applicazioni disponibili negli store ufficiali di Google e Amazon per i rispettivi assistenti digitali.
Starebbe prendendo piede l’utilizzo di una particolare tecnica che sarebbe sfruttata per ascoltare le conversazioni degli utenti e porre in essere azioni truffaldine.

I prodotti Google Home e Amazon Alexa si attivano non appena l’utente pronuncia ad alta voce una o più parole, ad esempio OK Google, Hey, Google o semplicemente Alexa! Gli utenti hanno poi piena facoltà di installare applicazioni di terze parti che sono collegate con l’account e l’assistente digitale: ce ne sono per tutti i gusti e capaci di assolvere ai compiti più disparati.

Gli esperti di SRLabs hanno evidenziato che alcuni sviluppatori scorretti stanno utilizzando un carattere particolare nelle loro app compatibili con Google Home e Amazon Alexa ovvero l’Unicode U+D801.
Usando tale carattere di escape, gli assistenti di Google e Amazon introducono una lunga pausa e rimangono in ascolto senza pronunciare alcuna indicazione.

Gruppi di malintenzionati stanno abusando di tale comportamento per porre gli assistenti digitali in uno stato di attesa ascoltando le altrui conversazioni o invitando l’utente a fornire dati strettamente personali. Alcune app per Google Home e Alexa, ad esempio, generano un falso errore per poi, dopo un certo periodo di silenzio, chiedere all’utente la password del suo account. Questo approccio fa sì che alcuni utenti non realizzino il legame tra l’errore generato dall’app installata e la successiva richiesta della password.
È esattamente l’esempio di attacco che viene illustrato nel video che ripubblichiamo di seguito.

Come si vede, l’utente dovrebbe insospettirsi dal fatto che l’assistente digitale – in questo caso Alexa – rimane attivo oltre il dovuto (il led nella parte superiore del dispositivo Amazon Echo rimane acceso per troppo tempo…). Stesso approccio nel caso di Google:

Nel video seguente, l’altro filone di attacchi: device come Google Home e dispositivi con supporto Alexa possono trasformarsi in vere e proprie spie semplicemente avviando un’app malevola. Questa, infatti, dopo aver restituito l’informazione richiesta potrebbe porsi in ascolto e trasmettere l’audio ambientale o il risultato di un’operazione di riconoscimento vocale (come nell’esempio) verso server remoti.

Mentre Amazon non ha ancora preso una posizione ufficiale, Google ha chiarito che i tecnici dell’azienda sono al lavoro per gestire la problematica segnalata e rimuovere tutte le applicazioni che usano comportamenti pericolosi per gli utenti.
Dalla società di Mountain View si precisa inoltre che l’assistente digitale non chiederà mai di confermare le proprie credenziali.