echo alexa Fonte foto: Shutterstock
SICUREZZA INFORMATICA

Alexa, basta un click su un link per farsi hackerare

I ricercatori di Check Point hanno scoperto alcune vulnerabilità che colpiscono Alexa e permettono agli hacker di prenderne il controllo

Dopo aver individuato 400 vulnerabilità che colpiscono i chipset Qualcomm presenti su milioni di smartphone Android, i ricercatori di Check Point, azienda specializzata in cybersicurezza, hanno individuato alcune pericolose vulnerabilità presenti su Alexa, l’assistente vocale di Amazon. E si tratta di un bug di sicurezza piuttosto importante: se un hacker riuscisse ad approfittarne potrebbe rubare i dati personali di un utente, comprese le credenziali per il conto corrente.

I ricercatori hanno identificato delle vulnerabilità di sicurezza in alcuni sottodomini di Amazon/Alexa che potrebbero aiutare un pirata informatico a prendere il controllo dell’account Alexa di un utente senza che lui possa accorgersene. Per cadere nella trappola dell’hacker bastava cliccare su un link fake che sembrava provenire da Amazon, ma che invece era corrotto. Una volta cliccato sul link l’utente spalancava le porte all’hacker che poteva gestire il profilo Alexa come meglio credeva: installare o disinstallare skill, oppure rubare dati personali come quelli del conto corrente. I ricercatori di Check Point hanno avvisato immediatamente Amazon che ha già fixato le vulnerabilità e risolto il problema.

Profilo Alexa sotto attacco, gli hacker possono prenderne il controllo

Check Point ha spiegato abbastanza accuratamente come funzionano le vulnerabilità scoperte. Il problema riguardava alcuni sottodomini di Amazon/Alexa non accuratamente protetti che permettevano a un hacker di prendere il controllo da remoto di un account Alexa. Per riuscire a sfruttare queste vulnerabilità un hacker doveva convincere un utente a cliccare su un link che sembrava fosse di Amazon, ma che in realtà era corrotto.

Se la persona clicca sul link, il pirata informatico può:

  • Accedere alle informazioni personali della vittima, come la cronologia dei dati bancari, i nomi utente, i numeri di telefono e l’indirizzo di casa.
  • Estrapolare la cronologia dei comandi vocali di una vittima.
  • Installare in modo silenzioso le skill sull’account Alexa di un utente.
  • Visualizza l’intera lista di skill di un account utente Alexa.
  • Rimuovere silenziosamente una skill installata.

I ricercatori di Check Point sottolineano il fatto che le vulnerabilità erano molto pericolose perché Alexa è oramai diffusa in tantissimi dispositivi in tutto il Mondo e può capitare che qualche utente cada nella trappola degli hacker.

Fortunatamente le vulnerabilità sono state risolte grazie al tempestivo intervento dei tecnici di Amazon, che dubito dopo essere stati contatti da Check Point hanno fixato il problema.

© Italiaonline S.p.A. 2020Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963