News 4

Un attacco hacker può trasformare Amazon Echo in uno spione. Ma è molto complesso

Amazon Echo può diventare strumento di ascolto occulto se vittima di un complicato attacco hacker. La società è già intervenuta neutralizzando alcune falle, riducendo così drasticamente la possibilità reale che si possano verificare attacchi di questo genere

 Un attacco hacker può trasformare Amazon Echo in uno spione. Ma è molto complesso

Un gruppo di ricercatori del colosso cinese Tencent, ha mostrato la possibilità di condurre un attacco sugli smart speaker Amazon Echo, che tuttavia per avere successo prevede sia l'accesso fisico al dispositivo, sia lo sfruttamento di una vulnerabilità dell'interfaccia web di Alexa. In realtà quindi le azioni richieste per compromettere il dispositivo sono varie e complesse, e non esattamente alla portata della maggior parte dei malintenzionati o, almeno, di coloro i quali cercano un modo facile ed agevole per "origliare" tramite un assistente vocale.

E' comunque interessante osservare che la tecnica che hanno sperimentato i ricercatori prevede la possibilità di modificare un dispositivo Echo per trasformarlo in vettore d'attacco per aggredire altri dispositivi Echo. Per fare ciò i ricercatori hanno dovuto rimuovere un chip di memoria flash dal dispositivo, modificando il firmware per ottenere l'accesso di root e saldarlo nuovamente sulla scheda logica.

Una volta fatto ciò il gruppo ha collocato lo speaker nella stessa rete WiFi di altri Echo non modificati. I ricercatori hanno poi sfruttato una serie di vulnerabilità lato web dell'interfaccia di Alexa su Amazon.com (cross-site scripting, URL redirection, HTTPS downgrade) per ottenere l'accesso ai dispositivi Echo di un account Amazon preso di mira. In questo modo hanno avuto la possibilità di avere il pieno controllo del dispositivo, comprese le possibilità di registrare occultamente audio e di riprodurre qualsiasi messaggio/suono.

I ricercatori hanno già notificato le vulnerabilità ad Amazon, la quale ha già provveduto a neutralizzarle con l'aggiornamento di sicurezza di luglio. Allo stato attuale delle cose la possibilità reale di un attacco del genere è molto bassa dato che il malintenzionato dovrebbe anzitutto sapere come smontare un dispositivo Amazon Echo, individuare il chip da modificare, procedere alla modifica e via discorrendo. Si potrebbe trattare di una pratica sfruttabile in quegli ambienti dove sono presenti un vasto numero di dispositivi Echo collegati ad una stessa rete, come ad esempio in alcuni hotel, dove per altro sarebbe più facile ottenere l'accesso fisico ad un dispositivo senza destare particolari sospetti o introdurre un dispositivo già modificato.

Fonte articolo: hardwareupgrade.it

Questo sito utilizza Cookies per migliorare l'esperienza di navigazione e mostrarti servizi in linea con le tue preferenze. Disabilitando i cookie alcuni dei nostri servizi potrebbero non funzionare e alcune pagine non essere visualizzate correttamente. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento, acconsenti all'uso dei Cookies. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni Cookies visualizza l'informativa completa. Cookies Policy.

Accetto i Cookies