Gli smart speaker e smart display Amazon Echo possono essere controllati in modo malevolo con un attacco che è stato chiamato Alexa vs Alexa, proprio perché sfrutta l’assistente vocale per prendere possesso delle varie funzioni di domotica associate con una sorta di auto-hack attraverso ordini auto-impartiti dagli altoparlanti intelligenti. Come raccontato dai team di ricercatori delle Royal Holloway University di Londra e dell’Università di Catania che hanno scoperto e raccontato la problematica, questa potrebbe sfruttata per sbloccare e aprire porte, effettuare chiamate verso numeri pericolosi oppure acquisti non autorizzati. È stata diffusa una patch, che però corregge solo una parte dei problemi.
Per sfruttare la vulnerabilità denominata Alexa vs Alexa (AvA) serve un file audio che fa da interruttore e che contiene uno specifico comando vocale e si esegue tramite le skill di Alexa, ovvero le capacità aggiuntive simili ad app per ampliare le potenzialità dell’assistente vocale. Il cybercriminale potrebbe poggiarsi a una web radio malevola oppure impersonare Alexa stessa tramite un cosiddetto tag ssml (speech synthesis markup language) per la conversione del testo in un parlato.
Content
This content can also be viewed on the site it originates from.
I ricercatori hanno testato la vulnerabilità riuscendo a controllare gli elettrodomestici connessi, ma anche i sistemi di riscaldamento e le serrature smart e in caso di una richiesta di conferma da parte di Echo era sufficiente rispondere con un “Sì” dopo alcuni secondi. È stato possibile effettuare chiamate a numeri ad hoc, completare acquisti non autorizzati e modificare eventi sul calendario.
Fonte : Wired
