Ecco come un ricercatore ha trasformato un Google Home Mini in un oggetto di spionaggio

Antonio Lepore
Antonio Lepore
Ecco come un ricercatore ha trasformato un Google Home Mini in un oggetto di spionaggio

Tempo fa, sugli smart speaker Google Home è stato scoperto un pericoloso bug che poteva permettere ad una terza persona di installare una backdoor per controllarlo da remoto e sfruttarlo, quindi, come un "normale" mezzo di spionaggio. Il bug è stato scovato nel gennaio 2021 dal ricercatore Matt Kunze, il quale ha immediatamente allertato Google affinché fosse rilasciata una patch in grado di risolvere la criticità (diffusa ad aprile).

A distanza di mesi, il ricercatore ha deciso di rendere pubblici i dettagli del bug. Kunze, dunque, ha spiegato che aggiungendo i nuovi account tramite l'app "Google Home" diventava possibile inviare comandi da remoto all'altoparlante utilizzando l'API cloud. Successivamente, il ricercatore ha creato uno script Python che consentiva di ottenere le credenziali di Google e un indirizzo IP e quindi di collegare l'account Google al dispositivo e all'indirizzo IP specificato. Una volta ottenuto il controllo sul dispositivo, Kunze è stato in grado, ad esempio, di attivare l'Assistente per chiamare un numero di telefono.

Il ricercatore, poi, ha dettagliato i passaggi da effettuare:

  • Crea un account Google "aggressore";
  • Entra in prossimità wireless di Google Home;
  • Inviare pacchetti di deautenticazione a Google Home;
  • Connettiti alla rete di configurazione di Google Home;
  • Eseguire lo script Python per collegare il dispositivo all'account Google dell'aggressore;
  • Interrompere l'invio di pacchetti di deautenticazione e attendere che il dispositivo si connetta a Internet;
  • Ora sarà possibile eseguire comandi sul dispositivo Google Home, inclusa la chiamata al proprio numero di telefono.

Kunze, quindi, nel gennaio 2021 ha segnalato la vulnerabilità a Google, la quale ha provveduto a risolvere la criticità. Difatti, ora non è possibile più collegare un account ad un dispositivo Google Home senza un invito dall'account principale. Tra l'altro, non è nemmeno più consentito chiamare un numero di telefono tramite una routine. Infine, sui dispositivi con display, la rete che il dispositivo crea per la configurazione è protetta da WPA2 e richiede una password per l'accesso.

Tutte le news sulla tecnologia su Google News
Ci trovi con tutti gli aggiornamenti dal mondo della tecnologia
Seguici