Alexa può hackerarsi da sola! Un video condiviso su YouTube mostra come lo speaker possa essere utilizzato per scopi malevoli utilizzando un exploit, a dire il vero, piuttosto banale. La vulnerabilità è stata scoperta da un team di ricercatori della Royal Holloway University di Londra e dell’Università di Catania.
L’attacco è stato battezzato AvA, ossia Alexa vs Alexa. Questo perché gli hacker possono ritorcere una stessa funzionalità dei dispositivi Echo contro Alexa, riproducendo facilmente qualsiasi comando da remoto.
L’attacco sfrutta le funzionalità Bluetooth dei device Echo, che possono essere utilizzati come un normale speaker. Il problema è che quando la riproduzione audio dello speaker è attiva, non esiste nessuna misura che blocchi i microfoni del device. Tradotto: è possibile utilizzare la funzionalità Bluetooth per far pronunciare ai dispositivi Amazon Echo qualsiasi comando e Alexa obbedirà incurante del fatto che quel comando non arriva dall’esterno ma dalle stesse casse del device.
L’hacker non deve nemmeno necessariamente utilizzare la sua voce reale. Può anche utilizzare un banalissimo programma text-to-speech.
Gli hacker possono quindi utilizzare Alexa per controllare la domotica smart di casa, oppure per effettuare chiamate verso qualsiasi numero di telefono (inclusi call center truffa) o effettuare acquisti non autorizzati.
Amazon ha affermato di essere a conoscenza del problema ed è già intervenuta per limitarne la portata, ad esempio limitando una specifica modalità di questo attacco nota con il nome ‘man in the middle’. Amazon ha definito l’entità del rischio costituito da questa vulnerabilità come ‘di medio livello’. Non sappiamo se l’azienda in futuro prenderà ulteriori misure di sicurezza per proteggere i suoi utenti.
L’attacco, comunque, può essere sferrato esclusivamente a patto che l’hacker si trovi in un raggio di distanza utile per il pairing Bluetooth con Amazon Echo. Si parla quindi di una distanza massima di circa 10 metri.
