Ricercatore hackera lo smart speaker di Google e lo trasforma in un'intercettazione telefonica e peggio

Privacy E Sicurezza

Condividere:

Un ricercatore ha trovato un modo per hackerare lo smart speaker di Google e trasformarlo in un'intercettazione telefonica. Questo è un grave difetto di sicurezza che potrebbe consentire a qualcuno di intercettare le conversazioni o persino controllare l'oratore.



All'inizio di questa settimana, un ricercatore/programmatore/hacker etico Matt Kunze ha pubblicato un post sul blog che descrive in dettaglio una grave vulnerabilità negli altoparlanti della casa intelligente di Google che potrebbe fornire agli hacker il controllo remoto sui dispositivi. Nel suo post sul blog, Matt descrive in dettaglio come è stata scoperta la vulnerabilità e poi spiega con dettagli spaventosi esattamente come questa backdoor potrebbe essere utilizzata per accedere a un'ampia gamma di comandi e azioni utilizzando l'altoparlante di Google interessato.

Il potenziale attacco derivava da una vulnerabilità che poteva consentire a qualcuno di aggiungersi all'app Google Home. Da lì, un hacker avrebbe la possibilità di controllare i dispositivi collegati all'account. Una volta connesso, un utente malintenzionato potrebbe utilizzare i comandi vocali per attivare il microfono su un determinato dispositivo. Puoi immaginare quanto caos potrebbe derivare da quel punto. Potenzialmente, il dispositivo potrebbe quindi essere utilizzato per fare tutto ciò di cui era capace l'altoparlante di Google in relazione a qualsiasi altro dispositivo connesso in casa. Ecco alcuni esempi di possibili azioni:

  • Controlla gli interruttori della casa intelligente
  • Apri porte da garage intelligenti
  • Fai acquisti online
  • Sblocca e avvia da remoto determinati veicoli
  • Apri le serrature intelligenti forzando furtivamente il numero PIN dell'utente

Matt ha rivolto la sua attenzione a un'altra potenziale azione che gli aggressori potrebbero attivare una volta ottenuto l'accesso all'app Home. Chiamate telefoniche. Impostando una routine collegata a un dispositivo specifico, Matt è stato in grado di attivare il suo Google Home Mini per chiamare il suo telefono a un'ora specifica in base alla routine. Nel video qui sotto, puoi vedere la routine in azione. Molto bello e molto spaventoso allo stesso tempo.

Dato che l'attacco ha consentito all'aggressore di accedere al microfono del dispositivo, Matt ha delineato un potenziale scenario in cui l'aggressore potrebbe utilizzare uno smart speaker di Google per spiare una famiglia. In sostanza, dando all'attaccante l'accesso illimitato per ascoltare dall'oratore in qualsiasi momento. Come sottolineato nel suo post sul blog , questo hack non richiederebbe all'attaccante di disporre di credenziali Wi-Fi per accedere al dispositivo.

  1. La vittima installa l'app Android dannosa dell'aggressore.
  2. L'app rileva un Google Home sulla rete tramite mDNS.
  3. L'app utilizza l'accesso LAN di base che viene concesso automaticamente per emettere silenziosamente le due richieste HTTP necessarie per collegare l'account dell'aggressore al dispositivo della vittima (non sono necessarie autorizzazioni speciali).

Matt prosegue spiegando in modo approfondito i vari modi in cui un hacker potrebbe implementare più attacchi nefasti utilizzando questa backdoor nell'app Home. Per fortuna, la storia ha un lieto fine.

Le buone notizie

Poiché il signor Kunze è un hacker etico, questa vulnerabilità è stata segnalata a Google mesi fa ed è stata rilasciata una patch molto prima che la debolezza fosse resa pubblica. Secondo la sequenza temporale, la vulnerabilità è stata segnalata nel gennaio del 2021 e la correzione è stata implementata nell'aprile dello stesso anno. Non molto tempo dopo, Matt è stato ricompensato per i suoi sforzi con un'enorme taglia di bug di $ 107.500 per il suo lavoro nell'identificare questa debolezza. Ciò significa che non devi preoccuparti che questo tipo di attacco si verifichi poiché è stato deragliato prima che si diffondesse. Puoi leggere il rapporto completo e approfondito sul nuovo blog di Matt qui .

Condividi Con I Tuoi Amici :