Su questi dispositivi è possibile installare delle specie di app, chiamate skill per Alexa e Action per Google Home, che ne estendono le capacità.
In due video dimostrativi, gli esperti mostrano come è possibile ingannare gli utenti:
La vittima invoca, con un comando vocale, un’app di oroscopi (creata dai ricercatori). L’app risponde dicendo che il servizio non è disponibile nel paese dell’utente, e così l’utente pensa che l’app sia terminata. Ma in realtà l’app è ancora attiva, e nelle sue istruzioni c’è un silenzio di un minuto, inserito grazie a un difetto di programmazione: la sequenza di caratteri U+D801 - punto - spazio, che non è pronunciabile, viene “pronunciata” come silenzio.
Dopo il minuto di silenzio, che fa pensare all’utente ancora più chiaramente che l’app (skill/action) precedente sia finita, l’assistente vocale annuncia che è disponibile un aggiornamento del dispositivo e chiede di pronunciare la password dell’account per autorizzarne l’installazione.
Né Google né Alexa chiederebbero mai la password in questo modo, ma inevitabilmente ci sono tanti utenti che non lo sanno e quindi pensano che la richiesta sia assolutamente legittima.
Se l’utente cade nella trappola e dice la propria password, questa viene registrata dall’app ostile. I gestori dell’app possono a questo punto usare questa password per prendere il controllo dell’account Amazon o Google, con tutte le conseguenze del caso.
Nessun commento:
Posta un commento