A cura di Stormshield
Secondo un recente studio dell'istituto Canalys, nel 2018 saranno venduti oltre 56 milioni di prodotti dotati di assistente vocale. Attraverso hub che integrano funzionalità smart tra cui Apple HomePod, Google Home e Amazon Echo, Siri, l'assistente vocale di Google, Alexa e Cortana saranno sempre più presenti nelle nostre case oltre che nei nostri smartphone. Si tratta di strumenti indubbiamente ottimi per semplificare le nostre vite e farci risparmiare tempo, ma rappresentano anche un rischio in termini di sicurezza delle informazioni, considerando la naturale iperconnettività di questi oggetti e lo scarso livello di protezione offerto. In un articolo apparso sul sito "Motherboard”, i ricercatori israeliani Tal Be'ery e Amichai Shulman – entrambi specialisti di cybersecurity – hanno postulato la seguente inquietante conclusione: "Abbiamo ancora la brutta abitudine di introdurre nuove interfacce nelle macchine senza analizzarne appieno le implicazioni in termini di sicurezza".
Dalla pubblicità sovversiva all'intrusione ultrasonica
Le notizie sulle vulnerabilità di questi sistemi e su casi di hackeraggio degli assistenti vocali hanno dato ragione ai due ricercatori.
Nell'aprile 2017, Burger King versò benzina su un dibattito già infuocato con una pubblicità di durata inferiore ai 15 secondi. La pubblicità consisteva di una semplice richiesta di informazioni all'assistente vocale da parte del personale della catena di fast food: "OK Google, cos'è uno Whopper?". Sui dispositivi dei telespettatori si attivava automaticamente l'assistente vocale, che apriva in un battibaleno la pagina Wikipedia sul famoso hamburger.
Per alcuni, è stato un colpo di genio pubblicitario, per altri un chiaro esempio dei rischi connessi all'omnipresenza degli assistenti vocali. Tal Be'ery e Amichai Shulman dimostrarono altresì che gli attacchi agli assistenti vocali avrebbero potuto essere anche molto più sinistri. Trovarono infatti un metodo per aggirare la procedura di login su un computer Windows utilizzando Cortana – l'assistente virtuale di Windows 10. Come hanno fatto? Sfruttando il fatto che questo assistente non è mai "spento" e risponde a determinati comandi vocali anche quando i dispositivi sono bloccati.
Un esempio simile ma ancora più insidioso è il DolphinAttack sviluppato da alcuni ricercatori cinesi. Questa tecnica implica l'uso di comandi ultrasonici non udibili per l'uomo ma rilevati dal microfono di un computer. In questo modo, la maggior parte degli assistenti vocali può essere attivata da remoto.
Un'altra vulnerabilità dal retrogusto amaro per gli utenti Apple è data dalla possibilità di bypassare la funzione di privacy che nasconde i messaggi che altrimenti apparirebbero sulla schermata di blocco dei dispositivi. Il sito Mac Magazine brasiliano rivelò che chiunque avrebbe avuto accesso ai messaggi nascosti, semplicemente chiedendo a Siri di leggerli ad alta voce, trasformando Siri (l'assistente vocale proprietario di Apple) in modo efficace in un cavallo di Troia.
Aumentare la consapevolezza e usare la crittografia: le uniche contromisure immediatamente disponibili
"Per loro natura, i microfoni utilizzati dagli assistenti vocali, specie quelli integrati negli hub intelligenti, sono sempre attivi e rappresentano un problema per la tutela della privacy", conferma Paul Fariello, Technical Leader di Stormshield. "Una minaccia che tuttavia risulta ridotta se si considera che per i cybercriminali è molto più semplice avvalersi di tecniche più tradizionali come il ransomware e il phishing. Crittografare i dati sensibili per impedirne l'uso in caso di furto riduce il rischio di leakage. "
Oggi, i produttori si limitano a fornire correzioni caso per caso. "Non esistono attualmente contromisure tecnologiche per questo tipo di problema. L'unica cosa che si può fare è sensibilizzare gli utenti, un processo che però ha i suoi limiti ", precisa Fariello. A fronte dell'architettura chiusa che caratterizza i dispositivi interconnessi o gli stessi smart hub non è infatti ancora possibile dotare tali apparecchi di soluzioni di sicurezza supplementari. Alla luce dell'infinita creatività degli hacker, l'opzione migliore sembra essere quella della sicurezza by design, di responsabilità esclusiva dei produttori. Seguendo il modello delle impronte digitali, l'impronta vocale potrebbe essere la nuova password biometrica per autenticare chi ha accesso agli assistenti vocali?