Le grandi aziende tecnologiche che stanno dietro ad Alexa e ad altri dispositivi simili hanno preso provvedimenti per renderli più attenti alla privacy, ma di recente ho dimostrato una funzione di cui dovreste essere a conoscenza.
Andiamo subito al sodo.
Problemi con un ex
Di recente un'amica mi ha chiesto di aiutarla a verificare se fosse stata violata, perché non riusciva a capire come il suo ex compagno fosse a conoscenza di informazioni specifiche sulla sua vita e persino di conversazioni private che aveva avuto.
https://www.welivesecurity.com/2022/01/31/how-tell-if-your-phone-hacked/
Per prima cosa ho controllato il suo telefono e il suo computer portatile eseguendo il software di sicurezza ESET e non ho riscontrato alcun malware o qualcosa di spiacevole. Mi ha detto che era come se le sue conversazioni fossero state ascoltate e che alcune delle cose che aveva detto solo ad altri erano state ritrasmesse alla lettera.
LETTURA CORRELATA: Una donna afferma che Alexa ha registrato e condiviso la conversazione privata che stava avendo con suo marito
A questo punto ho verificato la presenza di bug di ascolto. Non ho scoperto nulla che non dovesse essere presente. Tuttavia, ero interessato allo smart speaker Amazon Echo Dot della famiglia e ho chiesto chi potesse avervi accesso. La signora mi ha detto che il suo ex compagno aveva configurato il dispositivo due anni prima, quando stavano insieme, ed entrambi avevano accesso all'altoparlante tramite un account condiviso, ma ora lo usava solo lei.
Dato che non aveva cambiato la password di Amazon, né quella di altri account, dopo la rottura con il suo partner, questo era un buon punto di partenza per indagare. Mi sono chiesta se il dispositivo potesse essere usato per origliare a distanza tramite l'app da chiunque avesse accesso all'account, il che avrebbe permesso di ascoltare le sue conversazioni. Ricordavo di aver sentito dire che era possibile, ma volevo provare di persona che un dispositivo Alexa poteva essere usato come dispositivo di ascolto segreto.
Ho quindi acquistato un Amazon Echo Dot e, per farla breve, il mio istinto non mi ha tradito.
Il problema dei privilegi
Alcuni dispositivi intelligenti possono essere tolti dalla scatola e immediatamente collegati e utilizzati con le impostazioni predefinite, e quindi solitamente insicure. Ovviamente non sono mai stato un grande fan delle impostazioni predefinite per la privacy e la sicurezza della maggior parte dei dispositivi intelligenti (o di quasi tutti gli altri), anche dopo che Amazon e altri giganti della tecnologia sono stati costretti a migliorare le loro impostazioni per proteggere meglio gli utenti dalle pratiche intrusive dei produttori o di terzi.
Di solito non ci si rende conto della facilità con cui i dispositivi stessi possono essere utilizzati come strumenti di spionaggio da chiunque (più precisamente, dall'amministratore del dispositivo) con intenti illeciti. (Ovviamente non si tratta di una vulnerabilità di sicurezza se un amministratore può attivarla tramite una casella di controllo - ricordate la legge n. 6 delle Dieci leggi immutabili della sicurezza di Microsoft: "Un computer è sicuro solo se l'amministratore è affidabile").
https://www.welivesecurity.com/2020/04/20/work-home-should-digital-assistant-be-on-or-off/
LEGGI ANCHE: Lavorare da casa: L'assistente digitale deve essere acceso o spento?
Ho quindi configurato il mio Echo Dot con una password unica e forte, ho abilitato l'autenticazione a due fattori utilizzando un'app Authenticator e l'ho collegato al mio telefono. Sono riuscito a collegarlo anche al mio iPad con facilità e sono relativamente soddisfatto della sicurezza,
Sono quindi andato su "Dispositivi" nell'app e ho selezionato il mio "Echo Dot" e "Impostazioni", quindi ho attivato "Comunicazione". Ho quindi toccato la funzione "Drop In" per attivarla. Poi, nella scheda "Comunicazioni", ho dovuto solo selezionare "Drop In" e il mio Echo Dot e sono stato in grado di ascoltare la stanza in cui si trovava. Facile come bere un bicchier d'acqua. Mi sono anche disconnesso dal Wi-Fi di casa e mi sono connesso via 4G per dimostrare che potevo farlo facilmente anche da un'altra postazione remota.
Quando si effettua il Drop In e si ascolta una stanza, l'anello luminoso del dispositivo visualizza una luce verde rotante ed emette anche un piccolo suono ad anello per informare i presenti del Drop In. Non sono riuscito a effettuare il Drop In con questa luce e questo suono disattivati, ma una vittima ignara potrebbe non sentirlo o semplicemente non pensarci. Dopotutto, questi dispositivi tendono a emettere molti suoni e sembrano sempre avere anelli luminosi colorati per qualche motivo.
Ho anche deciso di controllare i registri del dispositivo tramite la mia app, ma sfortunatamente non c'erano registri o qualcosa che indicasse che ero "piombato", il che rende più difficile la prova forense in una situazione del genere. I registri dei dispositivi Echo Dot si chiamano "Attività", ma non c'è modo di registrare l'uso della funzione Drop In.
La spia nel vostro altoparlante intelligente
Torniamo ora alla mia amica. Quando le ho chiesto se c'era la possibilità che il suo Echo Dot fosse stato usato per ascoltare, sembra che abbia avuto un momento di illuminazione. Ha notato che la sua Alexa spesso faceva ruotare degli anelli colorati e ha pensato che i suoni avessero a che fare con il suo autodefinito "diluvio di acquisti su Amazon" e altre notifiche.
Ha affermato di aver semplicemente pensato che la sua Alexa stesse ascoltando le parole chiave, piuttosto che permettere a chiunque avesse la sua password di ascoltarla. Si è subito sentita a disagio, ha cambiato la password e ha reso il suo telefono l'unico dispositivo accoppiabile con il suo Echo Dot.
Da allora il dispositivo non ha più emesso suoni strani né si è acceso involontariamente e la donna afferma di sentirsi molto più sicura.
La vostra casa è infestata da cimici?
Esistono molti dispositivi di ascolto sul mercato, ma quelli che si nascondono in bella vista (e che normalmente non vengono considerati "microspie") sono spesso i più utilizzati. Va da sé che dobbiamo essere consapevoli delle loro capacità se sono presenti nelle nostre case.
Di conseguenza, è fondamentale seguire alcuni consigli quando si utilizza la tecnologia intelligente per rimanere al sicuro:
- - Utilizzare sempre password forti e uniche
- .- Attivare l'autenticazione a due fattori
- - Controllare le impostazioni del dispositivo
- - Connettersi solo ai dispositivi a cui si ha accesso
- - Eseguire un'accurata manutenzione degli account: configurare le autorizzazioni degli utenti, disattivare o rimuovere gli account se non sono necessari.
- - Cambiare la password se si sospetta che qualcuno abbia accesso all'account senza averne diritto.
- - Spegnere il dispositivo o disattivare la modalità di ascolto quando si hanno conversazioni delicate.
Gli iPhone come dispositivi di ascolto
Infine, a parte i dispositivi forse più ovvi come gli altoparlanti intelligenti, sapevate che anche gli Apple AirPods possono essere utilizzati come dispositivi di ascolto? Pochi sembrano essere a conoscenza del fatto che basta attivare una funzione di accessibilità chiamata Live Listen sul proprio iPhone e, con gli AirPods nelle orecchie, è possibile utilizzare il telefono, lasciato in qualsiasi stanza, come dispositivo di ascolto. Chi sospetterebbe che un telefono apparentemente "dimenticato" sia in realtà una "cimice" inserita di proposito?
Rimanete al sicuro!