Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Google Home: un bug permetteva di spiare gli utenti

Un ricercatore ha scovato una falla nei dispositivi Google Home, i malintenzionati potevano usarla per ascoltare le conversazioni altrui.
Google Home: un bug permetteva di spiare gli utenti
Un ricercatore ha scovato una falla nei dispositivi Google Home, i malintenzionati potevano usarla per ascoltare le conversazioni altrui.
Link copiato negli appunti

Gli smart speaker Google Home erano affetti da una grave vulnerabilità che permetteva di impostare un account backdoor, il quale poteva quindi essere adoperato da un malintenzionato per ascoltare le conversazioni degli utenti tramite il microfono.

Google Home: una falla permetteva di ascoltare le conversazioni degli utenti

La scoperta è stata fatta da un ricercatore di sicurezza che ha prontamente avvisato Google. L'azienda ha poi provveduto a risolvere il bug e a premiare colui che lo aveva indicato con una ricompensa pari a 107.500 dollari.

Andando più nello specifico, la falla è stata trovata a inizio 2021, ma solo di recente il ricercatore ne ha pubblicato i dettagli. La problematica era relativa alla procedura di aggiunta di un nuovo account adoperando l’app Google Home.

Una volta individuata la porta usata dalle API HTTP local durante la comunicazione tra app e dispositivo, il ricercatore ha impostato un proxy per intercettare il traffico HTTPS e quindi il token di autorizzazione dell’utente.

Il processo di collegamento al nuovo account avveniva prima raccogliendo le informazioni relative al dispositivo usando le API HTTP local, dopodiché i dati venivano inviati al server Google unitamente alla richiesta di linking.

Simulando la procedura appena scritta con uno script Python, il ricercatore ha avuto modo di scoprire che un malintenzionato potrebbe prendere il controllo dello smart speaker di casa Google, eseguire comandi e spiare gli utenti, oltre che disconnettere il dispositivo dalla rete locale e impostare la modalità setup dello stesso in un secondo momento, al fine di connettere il proprio account.

Ti consigliamo anche