Gli altoparlanti di Google Home hanno permesso agli hacker di curiosare nelle conversazioni
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 2 Gennaio 2023
Tags: #privacy, #sicurezza
Tags: #privacy, #sicurezza
Gli altoparlanti di Google Home hanno permesso agli hacker di curiosare nelle conversazioni
Un bug nello smart speaker di Google Home ha permesso di installare un account backdoor che poteva essere utilizzato per controllarlo da remoto e trasformarlo in un dispositivo di spionaggio accedendo al feed del microfono.
Il ricercatore Matt Kunze ha scoperto il problema e ha ricevuto $ 107.500 per averlo segnalato responsabilmente a Google l'anno scorso. All'inizio di questa settimana, il ricercatore ha pubblicato dettagli tecnici sulla scoperta e uno scenario di attacco per mostrare come sfruttare il difetto.
Processo di compromesso
Durante la sperimentazione con il suo mini altoparlante Google Home, il ricercatore ha scoperto che i nuovi account aggiunti utilizzando l'app Google Home potevano inviargli comandi da remoto tramite l'API cloud.
Utilizzando una scansione Nmap, il ricercatore ha trovato la porta per l'API HTTP locale di Google Home, quindi ha impostato un proxy per acquisire il traffico HTTPS crittografato, sperando di strappare il token di autorizzazione dell'utente.
Il ricercatore ha scoperto che l'aggiunta di un nuovo utente al dispositivo di destinazione è un processo in due passaggi che richiede il nome del dispositivo, il certificato e l'"ID cloud" dalla sua API locale. Con queste informazioni, potrebbero inviare una richiesta di collegamento al server di Google.
Per aggiungere un utente non autorizzato a un dispositivo Google Home di destinazione, l'analista ha implementato il processo di collegamento in uno script Python che automatizzava l'esfiltrazione dei dati del dispositivo locale e riproduceva la richiesta di collegamento.
L'attacco è riassunto nel blog del ricercatore come segue:
L'attaccante desidera spiare la vittima in prossimità wireless di Google Home (ma NON ha la password Wi-Fi della vittima).
L'attaccante scopre Google Home della vittima ascoltando gli indirizzi MAC con prefissi associati a Google Inc. (ad es. E4:F0:42).
L'aggressore invia pacchetti deauth per disconnettere il dispositivo dalla sua rete e farlo entrare in modalità di configurazione.
L'attaccante si connette alla rete di configurazione del dispositivo e richiede informazioni sul dispositivo (nome, certificato, ID cloud).
L'aggressore si connette a Internet e utilizza le informazioni ottenute sul dispositivo per collegare il proprio account al dispositivo della vittima.
L'aggressore può ora spiare la vittima tramite Google Home su Internet (non è più necessario essere vicino al dispositivo).
Il ricercatore ha pubblicato su GitHub tre PoC per le azioni di cui sopra. Tuttavia, questi non dovrebbero funzionare con i dispositivi Google Home che eseguono l'ultima versione del firmware.
I PoC fanno un ulteriore passo avanti rispetto al semplice piazzare un utente non autorizzato e consentono di spiare il microfono, effettuare richieste HTTP arbitrarie sulla rete della vittima e leggere/scrivere file arbitrari sul dispositivo.
Possibili implicazioni
Avere un account canaglia collegato al dispositivo di destinazione consente di eseguire azioni tramite l'altoparlante di Google Home, come controllare interruttori intelligenti, effettuare acquisti online, sbloccare porte e veicoli da remoto o forzare furtivamente il PIN dell'utente per serrature intelligenti.
Più preoccupante, il ricercatore ha trovato un modo per abusare del comando "chiama [numero di telefono]" aggiungendolo a una routine dannosa che attiverebbe il microfono in un momento specifico, chiamando il numero dell'aggressore e inviando un feed dal microfono in tempo reale.
Durante la chiamata, il LED del dispositivo diventa blu, unica indicazione che è in corso un'attività. Se la vittima se ne accorge, potrebbe presumere che il dispositivo stia aggiornando il firmware. L'indicatore di attivazione del microfono standard è un LED pulsante, che non si verifica durante le chiamate.
Infine, è anche possibile riprodurre contenuti multimediali sullo smart speaker compromesso, rinominarlo, forzare un riavvio, costringerlo a dimenticare le reti Wi-Fi memorizzate, forzare nuovi accoppiamenti Bluetooth o Wi-Fi e altro ancora.
Correzioni di Google
Kunze ha scoperto i problemi nel gennaio 2021 e ha inviato ulteriori dettagli e PoC nel marzo 2021. Google ha risolto tutti i problemi nell'aprile 2021.
La patch include un nuovo sistema basato su inviti per gestire i collegamenti agli account, che blocca qualsiasi tentativo non aggiunto su Home.
L'annullamento dell'autenticazione di Google Home è ancora possibile, ma non può essere utilizzato per collegare un nuovo account, quindi anche l'API locale che ha fatto trapelare i dati di base del dispositivo è inaccessibile.
Per quanto riguarda il comando "chiama [numero di telefono]", Google ha aggiunto una protezione per impedirne l'avvio remoto tramite routine.
Vale la pena notare che Google Home è stato rilasciato nel 2016, le routine pianificate sono state aggiunte nel 2018 e l'SDK per la casa locale è stato introdotto nel 2020, quindi un utente malintenzionato che trovasse il problema prima dell'aprile 2021 avrebbe avuto tutto il tempo per trarne vantaggio.