Quanto sono sicuri gli assistenti virtuali? I primi casi di phishing e i rischi per le aziende.

Quanto sono sicuri gli assistenti virtuali? I primi casi di phishing e i rischi per le aziende.

Gli assistenti virtuali sono sempre più utilizzati, ma raramente si pone attenzione alla loro pericolosità per i sistemi informativi. In particolare, è emerso che alcune applicazioni prodotte da terze parti e ritenute sicure dai produttori dell’assistente virtuale, sono in grado di acquisire password e altri dati personali degli utenti, senza che questi se ne rendano conto.

La casa di produzione di alcune delle applicazioni incriminate ha rivelato questo punto debole degli strumenti. Si trattava di applicazioni legate a servizi quali le news, l’oroscopo e ad alcuni giochi, quindi apparentemente innocue, ma in realtà molto insidiose, in quanto l’applicazione riusciva a registrare le conversazioni dell’utente e a ottenere dallo stesso le informazioni riguardanti le credenziali di accesso ai propri account.

Nel primo caso, una volta attivato l’assistente con il comando vocale (ad esempio, “Ehi Alexa” per l’assistente di Amazon) e aver richiesto la lettura delle previsioni del tempo, il sistema restava in ascolto e inviava le conversazioni registrate a uno specifico server, diverso da quello dell’assistente. Nel secondo, invece, il servizio richiesto dall’utente risultava non disponibile e l’applicazione, con un messaggio vocale simile a quello dell’assistente, segnalava la necessità di un aggiornamento del sistema, con richiesta di inserimento della password, che venivano regolarmente registrate e inviate a un server esterno. Ciò è stato possibile modificando il sistema di chiusura delle applicazioni, che restavano comunque attive e all’ascolto dell’utente. In questo caso, quindi, si è concretizza una vera e propria azione di phishing.

Risulta del tutto evidente che la cattura delle credenziali di accesso agli account privati, può rappresentare una minaccia anche per i sistemi aziendali. Infatti, molto spesso le credenziali per l’accesso agli account privati sono le stesse utilizzate per quelli aziendali, determinando una minaccia di cui i sistemi di protezione delle informazioni devono tenere conto. In tal senso, è fondamentale un approccio al tema della sicurezza che censisca tutti i possibili elementi di rischio, anche quelli apparentemente meno minacciosi.

DataConSec da oltre 15 anni affianca quotidianamente le più importanti imprese italiane e multinazionali, offrendo la propria esperienza per rafforzarne la governance e la compliance in modo integrato, dall’applicazione normativa alla Business Security.