Secondo il ricercatore Matt Kunze (alias DownrightNifty) una vulnerabilità negli altoparlanti Google Home Smart poteva consentire agli aggressori di controllare il dispositivo intelligente e intercettare le conversazioni degli utilizzatori.
I dettagli della scoperta
Secondo quanto riportato sul blog da DownrightNifty, prima dell’avvenuta correzione del difetto, l’eventuale attaccante avrebbe potuto svolgere una serie di funzioni, come abbassare il volume dell’altoparlante ed effettuare chiamate a qualsiasi numero di telefono oltre che spiare la vittima tramite il microfono, senza destare alcun sospetto (l’esecuzione dell’exploit comportava infatti solamente l’accensione del LED blu del dispositivo, segnale questo che poteva essere interpretato come una fase di aggiornamento del firmware).
In pratica il ricercatore sarebbe riuscito a collegare correttamente un account backdoor all’assistente vocale Google Home preso di mira ottenendo dei privilegi per inviare ad esempio comandi remoti allo speaker smart, accedere al feed del suo microfono e avviare richieste HTTP arbitrarie all’interno della LAN della vittima che potevano potenzialmente esporre la password Wi-Fi o fornire all’attaccante l’accesso diretto agli altri dispositivi della vittima.
“Come puoi vedere, non vi è alcuna indicazione udibile che i comandi siano in esecuzione, il che rende difficile per la vittima accorgersene. La vittima può comunque utilizzare normalmente il proprio dispositivo per la maggior parte del tempo (sebbene alcuni comandi, come la riproduzione di musica, non funzionino durante una chiamata)“, commenta il ricercatore di sicurezza.
Uno scenario di attacco
Lo scenario di attacco descritto dallo stesso Kunze, che poteva avere inizio solo se ci si trovava all’interno del raggio della rete WI-FI del dispositivo smart target, prevedeva i seguenti punti:
- L’aggressore desidera spiare la vittima.
- L’attaccante può entrare in prossimità wireless di Google Home (ma NON ha la password Wi-Fi della vittima).
- L’aggressore scopre Google Home della vittima ascoltando gli indirizzi MAC con prefissi associati a Google Inc.
- L’attaccante invia pacchetti deauth per disconnettere il dispositivo dalla sua rete e farlo entrare in modalità di configurazione.
- L’attaccante si connette alla rete di configurazione del dispositivo e richiede informazioni sul dispositivo.
- L’aggressore si connette a Internet e utilizza le informazioni ottenute sul dispositivo per collegare il proprio account al dispositivo della vittima.
- L’aggressore può ora spiare la vittima tramite Google Home su Internet (non è più necessario essere in prossimità del dispositivo).
Premiata la divulgazione responsabile
Google ha risolto il problema nell’aprile 2021 in seguito alla divulgazione responsabile dell’hacker etico DownrightNifty (8 gennaio 2021) e allo sviluppo di un Proof of Concept su GitHub, ricompensandolo con un bug bounty di $107.500.
Con la patch correttiva, che contiene un nuovo sistema per la gestione dei collegamenti agli account, Google ha fatto in modo che:
- qualsiasi tentativo di aggiunta di account non autorizzati venga bloccato.
- Il processo di de-autenticazione non possa più essere utilizzato per collegare un nuovo account.
- L’API che permette di risalire ai dati del dispositivo è stata resa inaccessibile.
- L’avvio da remoto tramite routine del comando “chiama [numero di telefono]” è stato interdetto.
Non ci sono comunque prove che questa vulnerabilità di sicurezza sia stata sfruttata in modo improprio prima di essere sanata.
