Seguici su
Cerca

“Alexa versus Alexa”, uno studio rileva vulnerabilità del dispositivo di Amazon

I ricercatori dell’Università di Catania e della Royal Holloway University of London hanno condiviso con l’azienda americana i suggerimenti per mitigare l’impatto di AvA. Mercoledì 25 maggio un focus al Dipartimento di Matematica e Informatica

23 Maggio 2022
Alfio Russo

È stato denominato “Alexa contro Alexa”, siglato “AvA”, e altro non è che “una vulnerabilità di auto-emissione dei comandi” del dispositivo Amazon Echo.

A individuare questi “malfunzionamenti” sfruttabili da criminali ai danni di ignari utenti dell’assistente vocale è un team di ricercatori composto dal prof. Giampaolo Bella, docente di Cybersecurity del Dipartimento di Matematica e Informatica dell’Università di Catania, in collaborazione con i docenti Sergio Esposito e Daniele Sgandurra del Dipartimento di Sicurezza informatica della Royal Holloway University of London, primo al mondo ad offrire un corso di sicurezza informatica, sin dal lontano 1992.

«I dispositivi elettronici della nostra quotidianità potrebbero essere sfruttati da criminali informatici, i cosiddetti “hacker”, per raccogliere informazioni significative su di noi, a nostra insaputa, come ad esempio le nostre conversazioni domestiche» spiega il docente catanese nell’evidenziare che «la nostra società dovrebbe comprendere che ogni dispositivo elettronico che possiamo comodamente gestire tramite smartphone può essere vettore d’attacco per pirati informatici».

Il docente ha già rivelato simili attacchi legati all’utilizzo delle stampanti, mentre stavolta è toccato a uno dei dispositivi più in voga del momento, punta di uno dei più grandi colossi americani, l’assistente vocale Amazon Echo.

Un lavoro di due anni, dunque, già notato dalle testate internazionali come The Register e Ars Technica, con il trio di esperti che evidenzia il lungo iter di “Responsible disclosure” che li ha visti interagire direttamente coi ricercatori di Amazon seguendone le tempistiche e le numerosissime richieste di dettagli e chiarimenti con l’obiettivo di implementare opportune misure di risoluzione dell’attacco.

«Abbiamo condiviso via via con Amazon le nostre scoperte nonché i suggerimenti per mitigare l’impatto dell’attacco AvA, in modo tale che Amazon possa risolvere completamente la situazione» spiega il prof. Bella insieme con Daniele Sgandurra, senior lecturer della Royal Holloway University of London, e con Sergio Esposito, vincitore del dottorato di ricerca dell’università londinese, già laureatosi in Informatica Magistrale al Dipartimento di Matematica e Informatica etneo sotto la supervisione del prof. Bella.

«AvA permette a un attaccante di controllare un dispositivo Amazon Echo, ovvero comandare le sue casse audio in modo che emettano comandi vocali scelti dell’attaccante per farli eseguire al dispositivo stesso. Di fatto, Amazon Echo riconoscerebbe comandi come provenienti dal legittimo utente, mentre invece sono generati dall’attaccante» spiega il dott Esposito.

I ricercatori hanno scoperto e riportato più di una vulnerabilità per eseguire AvA.  Una, la “Full-Volume Vulnerability”, consente ai pirati di mandare ad Amazon Echo comandi di lunghezza pressoché arbitraria, come ad esempio “Alexa, accendi il forno a 200 gradi per 3 ore”, oppure “Alexa, compra 10 dispositivi Amazon Echo Show di ultima generazione”.

Ma non finisce qui.

«Con la “Break Tag Chain Vulnerability”, il dispositivo può rimanere in ascolto anche sotto controllo malevolo, consentendo così all’attaccante di registrare le conversazioni e di impersonare Alexa durante qualunque interazione verbale con l’utente» aggiunge il dott. Esposito.

Il trio spiega che l’inganno può di fatto essere reiterato nel tempo, quindi se ad esempio l’utente chiedesse “Alexa, quanto fa 8+2?”, Alexa potrebbe riferire “77”, oppure se l’utente chiedesse i propri appuntamenti, Alexa potrebbe riferire che non ci sono promemoria per la giornata, ignorando bellamente le riunioni previste o le scadenze delle polizze assicurative.

«Gli assistenti vocali permeano in maniera crescente i momenti della nostra vita domestica – spiega il prof. Giampaolo Bella -. Appare chiaro, di conseguenza, il bisogno di verificare le loro caratteristiche di sicurezza e privacy, in particolare visto che un attacco come AvA potrebbe avere conseguenze su vasta scala».

Un evento scientifico-divulgativo a partecipazione libera su AvA si terrà mercoledì 25 maggio, alle 11, nell’aula magna del Dipartimento di Matematica e Informatica dell’Università di Catania.

Per accedere all’evento, che sarà anche trasmesso in streaming, è in ogni caso necessario registrarsi gratuitamente