Questa mattina mi sono alzato presto e, senza un preciso motivo, avevo deciso di parlare di Alexa e di quanto ancora si sia lontani da un modello di interazione con l’utente che sia veramente efficace.
Mi sono reso conto di avere bisogno di una ulteriore dose di caffeina e mi sono diretto in cucina a farmi un caffè. Quando mi sono rimesso alla scrivania ho dato una occhiata alle notizie selezionate per me da Feedly, ed una in particolare ha attirato la mia attenzione.
Si tratta di un articolo di Ars Technica che potete trovare qui: Attackers can force Amazon Echos to hack themselves with self-issued commands
L’articolo parla di una pubblicazione scritta da tre autori Italiani che ha scoperto una falla nel sistema di sicurezza di Amazon Echo. Sostanzialmente quello che avviene è che Echo può rispondere a comandi che vengono impartiti da sé stesso.
Io ho sempre dubitato di coloro che parlano da soli. In primo luogo le persone in carne ed ossa, ma ancora di più gli oggetti ripieni di silicio.
Nell’articolo c’è un link alla pubblicazione vera e propria che potete trovare qui e si tratta di una lettura interessante.
In alcuni momenti provo davvero il desiderio di fare il ricercatore universatario, magari non in Italia. Questi mi sa che si divertono un sacco.
La lettura è interessante perché al di là dell’aspetto tecnico che è interessante c’è l’evidenza di un compromesso tra usabilità e sicurezza che è stato scelto durante la progettazione di Amazon Echo.
Il paper riporta questa frase:
If the attacker is near the target Echo, they can exploit the self- issue via a Bluetooth device, e.g. their smartphone: note that this operation does not require any PIN (hence, no bruteforce or other similar attacks are required), and the pairing requires approximately 25 seconds. Additionally, once paired, the Bluetooth device can connect and disconnect from Echo without any need to perform the pairing process again. Therefore, the actual attack may happen several days after the pairing (assuming the attacker uses the same paired Bluetooth device).
E’ chiarissimo che questa è una scelta fatta per non fare impazzire l’utente nell’associazione del suo device bluetooth con Amazon Echo ma è evidente che questo genera, di per sé, un problema di sicurezza.
Interessante la lista di cose che puoi far fare ad Amazon Echo sfruttando questo sistema:
- Control Other Smart Appliances
- Call Any Phone Number of Attacker’s Choice.
- Buying Unwanted Items on Amazon Using the Victim’s Account.
- Tampering the User’s Linked Calendar.
- Impersonate Other Skills and the VPA.
- Retrieve User Utterances.
Insomma, una discreta quantità di cosucce interessanti.
La pubblicazione è una lettura piacevole e, sebbene piuttosto tecnica, credo sia alla portata della vasta maggioranza dei miei undici lettori.
La mia ipotesi che parlare da soli faccia male è decisamente confermata, sopratutto se sei fatto di silicio e funzioni con la corrente elettrica.