Altoparlanti Google Home: una falla (già risolta) permetteva ad utenti non autorizzati di prenderne il controllo

Gli altoparlanti smart di Google potevano essere utilizzati da account non autorizzati per compiere azioni e intercettare le comunicazioni dell'utente
di Andrea Bai pubblicata il 30 Dicembre 2022, alle 08:45 nel canale SicurezzaGli smart speaker Google Home hanno avuto un bug che poteva consentire ad una terza parte non autorizzata di condurre con successo l'installazione di una backdoor per controllarlo da remoto e sfruttarlo come dispositivo di spionaggio e intercettazione accedendo al feed del microfono.
Si tratta di un problema scoperto a gennaio 2021 dal ricercatore Matt Kunze, il quale ha comunicato tutti i dettagli a Google. La società ha provveduto a correggere il problema, rilasciando le patch opportune ad aprile dello scorso anno, e Kunze ha deciso di divulgare ora i dettagli tecnici di quanto scoperto e un esempio di attacco che sfrutta la falla.
Kunze ha scoperto che i nuovi account utente aggiunti tramite l'app Google Home potevano inviare comandi da remoto all'altoparlante sfruttando l'API cloud. Il ricercatore è riuscito a trovare la porta per l'API HTTP locale di Google Home che ha potuto utilizzare per acquisire il traffico HTTP crittografato usando un proxy, con l'obiettivo di strappare il token di autenticazione dell'utente.

Il ricercatore ha scoperto che il processo di aggiunta di un nuovo utente al dispositivo implica due passaggi che richiedono il nome del dispositivo steso, il certificato e l'ID cloud dell'API locale. Sono informazioni sufficienti per inviare una richiesta di collegamento al server di Google. Kunze ha quindi implementato il processo di collegamento in uno script Python per rendere automatica l'esfiltrazione dei dati dal dispositivo locale, riproducendo la richiesta di collegamento e poter così aggiungere un utente non autorizzato al dispositivo Google Home.
Il ricercatore spiega nel suo blog i passaggi per effettuare l'operazione:
- L'attaccante desidera spiare la vittima in prossimità wireless di Google Home (ma NON ha la password Wi-Fi della vittima).
- L'attaccante scopre Google Home della vittima ascoltando gli indirizzi MAC con prefissi associati a Google Inc. (ad es. E4:F0:42).
- L'aggressore invia pacchetti deauth per disconnettere il dispositivo dalla sua rete e farlo entrare in modalità di configurazione.
- L'attaccante si connette alla rete di configurazione del dispositivo e richiede informazioni sul dispositivo (nome, certificato, ID cloud).
- L'aggressore si connette a Internet e utilizza le informazioni ottenute sul dispositivo per collegare il proprio account al dispositivo della vittima.
- L'aggressore può ora spiare la vittima tramite Google Home su Internet (non è più necessario essere vicino al dispositivo).
Kunze ha pubblicato su GitHub tre Proof of Concept per le azioni descritte nell'elenco. Questi PoC, però, non dovrebbero poter funzionare sui dispositivi Google Home con l'ultima versione del firmware poiché, come detto, la falla è già stata risolta lo scorso anno da Google.
E' importante osservare che i PoC pubblicati da Kunze consentono di svolgere una serie di operazioni in più rispetto all'aggiunta di un utente non autorizzato, come ad esempio intercettare i segnali del microfono, effettuare richieste HTTP arbitrarie sulla rete della vittima e leggere/scrivere file arbitrari sul dispositivo. Ciò significa che l'account non autorizzato può eseguire un insieme di azioni tramite l'altoparlante smart, tra cui il controllo degli interruttori e delle serrature dell'abitazione, con la possibilità di forzare il PIN degli eventuali smart lock. Non solo: sarebbe possibile programmare una routine che attiva il microfono del dispositivo quando l'utente effettua una chiamata telefonica, così da intercettare parte delle comunicazioni verbali dell'utente.
Dicevamo che Google ha provveduto a risolvere il problema: la patch correttiva rilasciata ad aprile 2021 contiene un nuovo sistema di inviti per la gestione dei collegamenti agli account, che blocca qualsiasi tentativo di aggiunta di account non autorizzati. E' ancora possibile effettuare il processo di de-autenticazione, ma non può essere utilizzato per collegare un nuovo account. Anche l'API che permetteva di risalire ai dati del dispositivo è stata resa inaccessibile. Infine per il comando "chiama numero di telefono", Google ha aggiunto una protezione che impedisce l'avvio da remoto tramite routine.
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".