Amazon ha corretto un potenziale exploit scoperto da Checkmarx. I ricercatori di quest'ultimo hanno affermato che Alexa potrebbe tenerti d'occhio anche se non sapevi che estranei malintenzionati stavano trasformando il tuo Echo in un dispositivo di ascolto. Gli investigatori del laboratorio hanno scoperto un modo per mantenere costantemente in ascolto l'assistente vocale di Amazon.

Alfred Ng in CNET ha dichiarato:"Amazon ha detto che da allora ha risolto i problemi segnalati". Per esempio, Ng ha riferito, Amazon ha rimosso la possibilità di mettere a tacere le repliche, e ha ridotto la quantità di tempo che Alexa poteva ascoltare.

Checkmarx ha descritto cosa stava succedendo. "Per l'eco, simile a Google Home con assistente vocale, l'ascolto è fondamentale. Il dispositivo è in ascolto continuo per sorprenderti a pronunciare la sua parola di attivazione (ad es. "Alexa"), in modo che possa darti ciò di cui hai bisogno all'istante, " ha detto Checkmarx.

Ma i ricercatori si sono incuriositi. Echo potrebbe registrare un utente senza che l'utente sia consapevole di essere registrato? Potrebbe essere un origliatore silenzioso, serve come dispositivo di intercettazione?

"Amazon Echo (con il suo assistente virtuale noto come Alexa) è l'Intelligent Personal Assistant (IPA) più venduto di sempre, con oltre 31 milioni di dispositivi venduti fino ad oggi, " ha detto Checkmarx. "Tuttavia, con la sua ascesa in popolarità, una delle principali preoccupazioni degli IPA è la privacy, " e hanno notato che le preoccupazioni includevano la paura di essere inconsapevolmente registrati.

Maty Siman e Shimi Eshkenazi hanno lavorato nel laboratorio Checkmarx per vedere cosa potrebbe accadere se tentassero di trasformare il loro Amazon Echo in un dispositivo di intercettazione.

Cablato rifletté su come non dovessero nemmeno essere coinvolti nell'hacking dell'assistente vocale per trasformarlo in una spia; le intercettazioni provenivano solo da un codice intelligente.

Lily Hay Newman ha scritto di come hanno risolto la cosa. Ha detto che i ricercatori hanno creato "un'applet Alexa dannosa, nota come 'skill', che potrebbe essere caricata sullo Skill Store di Amazon".

(Ma cos'è Skill? Ng ha spiegato che Alexa usa Skills per eseguire i comandi. "Chiedi se sta arrivando la pioggia, Per esempio, e Alexa usa l'abilità "Meteo" per rispondere.")

Newman ha scritto, "Per usare un'abilità, devi pronunciare la parola di attivazione del tuo dispositivo affinché il microfono inizi a trasferire l'audio su Internet per l'elaborazione. Nell'esempio di Checkmarx, quando l'utente chiede alla calcolatrice abilitata di fare dei semplici calcoli, quella richiesta viene indirizzata all'abilità, che restituisce la risposta."

È lì che le cose si sono fatte interessanti. Anche se l'interazione sarebbe finita lì, e il microfono smetteva di trasmettere, il team ha programmato l'abilità in modo che "una funzionalità di sviluppo chiamata 'shouldEndSession' mantenga automaticamente l'eco in ascolto per un altro ciclo". E, con ulteriori mosse da parte dei ricercatori, hanno scoperto che l'eco sarebbe rimasto silenzioso e non avrebbe fatto sapere a un utente che la sessione stava continuando.

Checkmarx ha detto ad Amazon del loro scenario di attacco e Amazon ha ascoltato (nessun sarcasmo inteso).

Checkmarx ha elencato alcune delle misure messe in atto:definizione di criteri specifici per identificare (e rifiutare se necessario) le capacità di intercettazione durante la certificazione; rilevare le risposte vuote e intraprendere le azioni appropriate; rilevare sessioni più lunghe del solito e intraprendere azioni appropriate.

Ng in CNET:Checkmarx ha affermato che le correzioni di Amazon hanno reso impossibile ripetere la stessa tattica di intercettazione. Per quanto riguarda la reazione di Amazon, portato dentro Cablato :Un portavoce della società in una dichiarazione ha affermato che, "Abbiamo messo in atto delle mitigazioni per rilevare questo tipo di comportamento delle abilità e rifiutare o sopprimere quelle abilità quando lo facciamo".

© 2018 Tech Xplore