Momenti di gloria per un ricercatore indipendente che a gennaio 2021 aveva scoperto una grave vulnerabilità nei dispositivi Google Home.
Com’è noto, i prodotti Google Home consentono di interagire con applicazioni e servizi usando i comandi vocali, che vengono elaborati dall’assistente digitale Google Assistant.
Come viene spiegato oggi in questa analisi tecnica, il ricercatore ha scoperto un bug di sicurezza in Google Home che avrebbe potuto essere sfruttato da parte di eventuali utenti malintenzionati per spiare le attività altrui.
Il problema risiedeva nel funzionamento delle API (Application Programming Interface) di Google Home: permettevano l’aggiunta di nuovi account (fuori dal controllo del legittimo proprietario del dispositivo Google Home) per l’invio di comandi in modalità remota.
Utilizzando il noto scanner Nmap, il ricercatore ha individuato la porta locale utilizzata per le comunicazioni HTTP via API con il dispositivo Google Home. Ha quindi impostato un proxy per catturare il traffico HTTPS crittografato.
Il ricercatori ha scoperto che l’aggiunta di un nuovo utente su un dispositivo Google Home si concretizza in un processo composto da due passaggi. Durante tale processo, le API vengono utilizzate per trasmettere il nome del dispositivo, un certificato e un cloud ID.
Realizzando uno script Python, il ricercatore è riuscito a estrarre le informazioni necessarie per l’aggiunta di un nuovo utente e avanzare ai server Google la richiesta di accoppiamento di un account con il dispositivo.
Nell’analisi del bug individuato in Google Home si spiega che l’aggressore non deve neppure conoscere la password della rete WiFi alla quale il dispositivo risulta connesso. Può invece forzare la temporanea disconnessione dalla rete wireless, intervenire sulla configurazione e aggiungere un account utile a controllare il device in modalità remota.
La presenza di un account non autorizzato collegato con il dispositivo Google Home, consente a un aggressore di eseguire molteplici azioni come il controllo dei dispositivi smart, l’effettuazione di acquisti online, lo sblocco a distanza di porte e veicoli, il brute-forcing del PIN dell’utente usato nelle serrature intelligenti.
Il ricercatore ha anche trovato un modo per abusare del comando “chiama [numero di telefono]” collegandolo a una routine in grado di attivare il microfono in un momento specifico, chiamando il numero dell’aggressore e inviando in tempo reale l’audio acquisito dal microfono.
Fortunatamente i problemi descritti dal ricercatore (premiato con una somma in denaro superiore a 100.000 dollari) sono stati risolti da Google ad aprile 2021: installando le ultime versioni del firmware per i vari prodotti Google Home, si è quindi certi di essere al riparo da eventuali tentativi di attacco (anche perché il codice Proof-of-Concept è stato ormai reso pubblico).