• Dragon Ball
  • Obey Me
  • How I Met Your Mother
  • Harry Potter
  • saint seiya
  • robot aspirapovere
  • truffe
  • phishing
Tech News, Magazine & Review WordPress Theme 2017
  • Notizie
  • Videogiochi
  • Cinema
  • Anime
  • Sport
  • Libri
  • Tecnologia
    • Scienza
No Result
View All Result
  • Notizie
  • Videogiochi
  • Cinema
  • Anime
  • Sport
  • Libri
  • Tecnologia
    • Scienza
No Result
View All Result
PlayTalk.it
No Result
View All Result
Home News

Ricercatore scopre potenziali intercettanti su altoparlanti Google Home

by
Dicembre 31, 2022
1
Ricercatore scopre potenziali intercettanti su altoparlanti Google Home
ADVERTISEMENT
Condividi su FacebookCondividi su TwitterCondividi su Telegram

Un esperto di sicurezza informatica ha ricevuto una ricompensa, per una taglia relativa ad un bug, di ben $ 107.500, per aver identificato problemi di sicurezza negli altoparlanti intelligenti di Google Home che potrebbero essere utilizzati per installare backdoor e trasformarli in dispositivi di intercettazione (sì, questa volta la cosa può somigliare davvero a ciò che si vede sul grande schermo).

I difetti di programmazione in questione “hanno consentito ad un utente malintenzionato in prossimità della rete wireless di installare un account ‘backdoor’ sul dispositivo, consentendogli di inviare comandi da remoto tramite Internet, accedere al feed del microfono ed effettuare richieste HTTP malevole all’interno della LAN della vittima“,  è ciò che Matt, il ricercatore ha rivelato in un articolo tecnico pubblicato questa settimana.

Cosa sarebbe potuto succedere di brutto tramite questa vulnerabilità dell’altoparlante Google Home?

Effettuando tali operazioni dannose, non solo la password Wi-Fi potrebbe essere esposta, ma un malintenzionato potrebbe addirittura ottenere l’accesso diretto ad altri dispositivi connessi alla stessa rete, ma niente panico: a seguito della divulgazione responsabile dell’8 gennaio 2021, i problemi sono stati risolti da Google nell’aprile 2021.

ADVERTISEMENT

Il problema, in poche parole, ha a che fare con il modo in cui l’architettura software di Google Home può essere (o per meglio dire, poteva essere, il bug è stato risolto) usata per aggiungere un account utente Google aggiuntivo al dispositivo domotico, ovverosia un ospite “extra” della casa (se hai confidenza con l’applicazione Home di Google, avrai capito certamente).

In una serie di attacchi dettagliata dal ricercatore, un malintenzionato che cerca di intercettare una vittima può indurre l’individuo a installare un’app Android dannosa che, dopo aver rilevato un dispositivo Google Home sulla rete, invia richieste HTTP “nascoste” (in incognito) per collegare l’account di questo ipotetico utente malintenzionato al dispositivo della vittima.

Indagando ulteriormente, si è scoperto anche che, simulando un attacco di deautenticazione Wi-Fi per costringere un dispositivo Google Home a disconnettersi dalla rete, l’applicazione “Home” (o comunque il software stesso dell’altoparlante Google Home) può entrare in una “modalità di configurazione” e creare il proprio Wi-Fi aperto, una sorta di hotspot, per capirci.

L’autore malintenzionato poteva in seguito connettersi alla rete di configurazione del dispositivo e richiedere dettagli come: nome del dispositivo, cloud_device_id o anche certificato e utilizzarli per collegare il proprio account al dispositivo.

ADVERTISEMENT
ADVERTISEMENT

Ecco un esempio dei dati del dispositivo e della rete che erano esposti, prima che questo bug dei dispositivi Google Home fosse corretto

Indipendentemente dalla sequenza di attacco impiegata, un processo di collegamento riuscito consente all’hacker di sfruttare le routine di Google Home per abbassare il volume a zero e chiamare un numero di telefono specifico in un dato momento per spiare la vittima attraverso il microfono del dispositivo (sì, lo so, stai pensando al videogioco Watch_Dogs, vero?).

Esempio pratico di come la routine di Google Home poteva venire sfruttata

“L’unica cosa che la vittima avrebbe potuto notare è che i LED del dispositivo diventano blu fissi, ma probabilmente presumerebbero che stia aggiornando il firmware o qualcosa del genere“, ha detto Matt. “Durante una chiamata, i LED non lampeggiano come fanno normalmente quando il dispositivo è in ascolto, quindi non vi è alcuna indicazione che il microfono sia aperto [da qualcuno esterno].”

Oltretutto, l’attacco poteva essere esteso per effettuare richieste HTTP malevoli all’interno della rete della vittima e persino leggere file o introdurre modifiche dannose sul dispositivo collegato che sarebbero state  applicate dopo un riavvio.

Questa, tuttavia, non è la prima volta che tali metodi di attacco sono stati ideati per spiare di nascosto potenziali vittime attraverso dispositivi ad attivazione vocale.

A novembre 2019, un gruppo di accademici ha rivelato l’esistenza di una tecnica chiamata Light Commands, che si riferisce a una vulnerabilità dei microfoni MEMS che consentiva agli aggressori di inserire da remoto comandi non udibili e invisibili in popolari assistenti vocali come Google Assistant, Amazon Alexa, Facebook Portal e Apple Siri.

Se tale bug o un bug analogo sugli altoparlanti si ripresentasse, cosa fare?

Il bug di Google Home (degli altoparlanti) in questione prevedeva che qualcuno tramite una falla si inserisse come un “abitante” (tramite l’applicazione Home di Google è possibile “invitare persone” in “casa”), quindi se hai qualche sospetto la prima cosa da fare è vedere se nel tuo sistema domotico di Google ci sono altre persone collegate con un account che non conosci.

La cosa molto curiosa di questo fatto è che è uno dei casi in cui la realtà supera l’immaginazione, in questo caso del noto titolo Ubisoft, Watch_Dogs, con la differenza che non c’era bisogno di uno smartphone appositamente studiato per queste azioni di spionaggio.

————-

Contenuto pubblicato su tech.icrewplay.com Read More

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

ADVERTISEMENT
PlayTalk.it

Copyright © Alpha Unity - testata giornalistica registrata presso il Tribunale di Roma n. 75 del 26/07/2017. Tutti i diritti riservati.

  • Lavora con noi
  • Privacy Policy
  • Advertising
  • Contact

Seguici

No Result
View All Result
  • Ultime notizie
  • Videogiochi
  • Recensioni
  • Cinema
  • Sport
  • Anime
  • Libri
  • Tecnologia
  • Scienza

Copyright © Alpha Unity - testata giornalistica registrata presso il Tribunale di Roma n. 75 del 26/07/2017. Tutti i diritti riservati.

Welcome Back!

Login to your account below

Forgotten Password? Sign Up

Create New Account!

Sign Up with Facebook
OR

Fill the forms below to register

All fields are required. Log In

Retrieve your password

Please enter your username or email address to reset your password.

Log In
Generated by Feedzy