Gli smart speaker e smart display Amazon Echo possono essere controllati in modo malevolo con un nuovo attacco, denominato Alexa vs Alexa (AvA), che sfrutta l’assistente vocale per ottenere il controllo dei dispositivi Amazon Echo per un periodo di tempo prolungato.
AvA sfrutta il fatto che Alexa in esecuzione su un dispositivo Echo interpreta correttamente i comandi vocali originati da file audio anche quando vengono riprodotti dal dispositivo stesso, ossia sfrutta una vulnerabilità di autoemissione dei comandi. Per prendere possesso delle varie funzioni di domotica associate, l’attacco crea una sorta di auto-hack attraverso ordini auto-impartiti dagli altoparlanti intelligenti. Per sfruttare la vulnerabilità serve un file audio che fa da interruttore e che contiene uno specifico comando vocale e si esegue tramite le skill di Alexa, ossia le capacità aggiuntive simili ad app per ampliare le potenzialità dell’assistente vocale.
Questi i risultati di una ricerca della Royal Holloway University of London e dell’Università di Catania. Il team di ricercatori spiega che con AvA, un utente malintenzionato può emettere automaticamente qualsiasi comando consentito a Echo, controllandolo per conto dell’utente legittimo. Tramite AvA, gli aggressori possono controllare gli elettrodomestici intelligenti all’interno della famiglia, acquistare oggetti indesiderati, manomettere i calendari collegati e intercettare l’utente.
I ricercatori hanno anche scoperto due ulteriori vulnerabilità di Echo, denominate Full Volume e Break Tag Chain che consentono agli aggressori di eseguire ulteriori comandi di auto-emissione. Il volume completo aumenta il tasso di riconoscimento dei comandi di auto-emissione, raddoppiandolo in media, permettendo quindi agli aggressori di eseguire ulteriori comandi di auto-emissione. Break Tag Chain aumenta il tempo in cui un’abilità può essere eseguita senza l’interazione dell’utente, da otto secondi a più di un’ora, consentendo così agli aggressori di impostare scenari realistici di ingegneria sociale. Sfruttando queste vulnerabilità, l’attaccante può auto-emettere comandi che vengono eseguiti correttamente il 99% delle volte e può mantenere il controllo del dispositivo per un periodo di tempo prolungato.
I ricercatori hanno testato la vulnerabilità riuscendo a controllare gli elettrodomestici connessi, i sistemi di riscaldamento e le serrature smart. In caso di una richiesta di conferma da parte di Echo era sufficiente rispondere con un “Sì” dopo alcuni secondi. È stato anche possibile effettuare chiamate a numeri ad hoc, completare acquisti non autorizzati e modificare eventi sul calendario.
I ricercatori hanno segnalato queste vulnerabilità ad Amazon tramite il loro programma di ricerca sulle vulnerabilità, che le ha valutate con un punteggio di gravità Medio.
Amazon ha già diffuso una patch che corregge in parte questa problematica e visto che gli smart speaker e smart display Echo effettuano gli update automaticamente non è necessario fare alcunché. Rimane scoperta però una vulnerabilità ossia la possibilità che, se il potenziale aggressore si trova a portata di bluetooth di circa 10 metri, può avere la possibilità di riprodurre un file audio per attivare l’attacco e sfruttarne le ampie potenzialità.
https://www.wired.it/article/alexa-vs-alexa-vulnerabilita/
https://arxiv.org/abs/2202.08619
