È consigliabile verificare sempre che le skill di Alexa che installiamo siano sicure
È consigliabile verificare sempre che le skill di Alexa che installiamo siano sicure

Roma, 8 marzo 2021 - Da un recente studio giungono notizie poco rassicuranti per chi ha in casa un dispositivo equipaggiato con Alexa, l'assistente vocale di Amazon. I ricercatori dell'Università della Ruhr a Bochum e della North Carolina State University hanno individuato diverse falle nella privacy e nella sicurezza delle skill (le "app" di Alexa), che potrebbero essere sfruttate da soggetti malintenzionati per accedere alle informazioni personali degli utenti.

I punti deboli di 90mila skill

Cerca la ricetta delle lasagne, riproduci l'ultimo disco di Taylor Swift, dimmi che tempo farà domani: a ogni singola funzione di Alexa corrisponde una skill. Ne sono disponibili oltre centomila, gran parte delle quali – e molti utenti non ne sono consapevoli – è creata da sviluppatori di terze parti, e non direttamente da Amazon. Quali sono le garanzie che rispettino davvero la nostra privacy? Attraverso un processo di analisi automatica, i ricercatori hanno passato al vaglio novantamila skill e hanno rilevato diversi punti deboli.

Nomi non verificati e informative sulla privacy lacunose

Ad esempio, spiega lo studio, i nomi degli sviluppatori accreditati per le skill non vengono verificati e in questo modo chiunque può utilizzare il nome che preferisce. Un soggetto con finalità opache potrebbe registrarsi con il denominativo di una società nota e affidabile, traendo in inganno gli utilizzatori e trovando la strada spianata per attacchi di phishing. A titolo di verifica, i ricercatori stessi hanno pubblicato alcune skill registrandosi come Samsung, Microsoft e con altri nomi di aziende famose, senza che, in gran parte dei casi, il sistema di verifica rilevasse alcun problema.

Inoltre i comandi vocali non sono univoci: la medesima frase può attivare più skill, con il rischio da parte nostra di fare partire quella sbagliata e condividere informazioni sensibili con programmi e sviluppatori diversi da quelli che pensiamo. E ancora: gli sviluppatori possono modificare il codice della loro applicazione dopo che è stata approvata e pubblicata sugli store, e le misure di protezione della privacy messe in campo da Amazon non sono sempre efficaci: di 1146 skill che richiedevano l'accesso a dati personali, il 23,3% non forniva informative sulla privacy, oppure queste erano incomplete o fuorvianti.

Amazon al lavoro

Il sito ZDNet riporta che i ricercatori hanno comunicato le loro osservazioni ad Amazon, la quale ha confermato l'esistenza di alcuni di questi problemi e che sta lavorando alle contromisure. Un portavoce dell'azienda di Jeff Bezos ha inoltre detto al sito che considerano la sicurezza dei loro dispositivi e dei loro servizi una priorità, e che sono "impegnati a migliorare costantemente i controlli e il processo di certificazione delle skill per proteggere i nostri clienti".

Lo studio è consultabile a questo link.