Possibilità di compromissione da remoto per altoparlanti Sonos e Bose

I ricercatori di sicurezza di Trend Micro hanno scoperto una potenziale vulnerabilità che può consentire ad attaccanti e malintenzionati di accedere da remoto ad alcuni altopalranti connessi di Sonos e Bose. I sistemi interessati sembrano essere in particolare Sonos Play:1, Sonos One e Bose SoundTouch, che possono essere individuati tramite uno scan online e permettono a terzi di riprodurre contenuti audio.

Per ora la vulnerabilità sembra lasciare spazio solamente a scherzi di cattivo gusto. I ricercatori hanno ad esempio dimostrato la possibilità di riprodurre comandi vocali ingannare un sistema basato su Amazon Alexa, mentre sul forum di Sonos un utente ha condiviso la propria vicenda raccontando di essere stato spaventato da suoni di porte cigolanti, pianti di bambini e rotture di vetri riprodotti ad alto volume dal suo sistema.

Sonos ha dichiarato di essere al lavoro per approfondire il problema, anche se in realtà pare che il motivo sia una configurazione non idonea della rete a cui viene connesso il sistema di riproduzione, e che ha avuto impatto su un numero limitato di utenti. Il problema, in particolare, riguarderebbe la configurazione della rete come rete pubblica. Sonos ha anche rilasciato una patch per aiutare i meno esperti a risolvere il problema. Bose non ha ancora rilasciato una posizione ufficiale.

Anche Trend Micro conferma in qualche modo il problema, che sarebbe quindi imputabile alle connessioni di rete assieme alle impostazioni di fabbrica dell'altoparlante: "La sfortunata realtà è che questi dispositivi assumono che la rete su cui risiedono sia fidata e che tutti noi dovremmo saperne molto di più di quanto in realtà non sia. In questo modo chiunque può accedere allo speaker e controllarlo, se si trova su una rete configurata con noncuranza".