Se hai un dispositivo Google Home ma sei preoccupato per i microfoni sempre attivi, le tue preoccupazioni sono giustificate.
Avere un dispositivo sempre in ascolto in casa è un evento piuttosto comune al giorno d'oggi, in particolare con la proliferazione della linea di dispositivi Echo di Amazon e della serie Google Home. Sebbene siano strumenti tecnologici incredibilmente utili, non sono esenti da preoccupazioni sulla privacy. Hanno microfoni sempre attivi e una connessione Internet, che per alcune persone rappresenta un'invasione della privacy eccessiva per poter stare in casa. Il ricercatore di sicurezza Matt Kunze ha dimostrato che questi timori potrebbero essere giustificati, poiché è riuscito a trasformare il suo Google Home Mini in quella che può essere descritta essenzialmente come un'intercettazione telefonica.
Sebbene questa vulnerabilità sia stata scoperta e testata su un Google Home Mini, Kunze afferma di presumere che l'attacco abbia funzionato in modo simile su altri modelli di altoparlanti intelligenti di Google.
Decodifica di Google Home Mini
Una richiesta POST a un endpoint /deviceuserlinksbatch, come identificato tramite mitmproxy.
Collegare un account a un dispositivo Google Home ti dà molto controllo su di esso, con le "Routine" del dispositivo in grado di eseguire comandi da remoto. Le routine sono utili per predefinire funzionalità in base a condizioni specifiche, ma se ne può abusare se si è in grado di accedere al dispositivo da remoto e controllarlo. Un esempio di routine potrebbe essere dire "Ehi Google, buongiorno", accendere le luci e dirti che tempo farà per la giornata.
Kunze ha deciso di scoprire se fosse possibile per un utente malintenzionato collegare il proprio account Google a Google Home di qualcuno. Ciò gli consentirebbe essenzialmente di sfruttare il controllo dato collegando un account a un dispositivo e di essere utilizzato per eseguire comandi in remoto sulla rete di qualcuno.
Facendo uso di strumenti come il proxy man-in-the-middle (mitmproxy) E Frida, ha potuto osservare il traffico tra l'applicazione Google Home su uno smartphone e il dispositivo Google Home. Da lì, ha scoperto che era possibile collegare un account Google al dispositivo ottenendo le sue informazioni tramite un'API locale e quindi inviando una richiesta ai server di Google con le informazioni per collegarlo. Kunze ha scritto uno script Python che prende le credenziali di Google e un indirizzo IP e quindi collega l'account Google al dispositivo all'indirizzo IP fornito.
Una volta ottenuto il controllo del dispositivo, può creare qualsiasi routine e attivarla su un dispositivo collegato. Puoi invocare l'Assistente per chiamare un numero di telefono, cosa che ha potuto fare in qualsiasi momento. Per rendere l'attacco quanto più furtivo possibile, Kunze ha attivato anche la "modalità notturna", che diminuisce il volume massimo e la luminosità dei LED. Il volume della musica rimane del tutto inalterato, il che rende meno probabile che l'utente se ne accorga.
Ma c'è di peggio, perché non è nemmeno necessario essere sulla stessa rete Wi-Fi perché questo attacco funzioni: è sufficiente la vicinanza al dispositivo. Se invii pacchetti di deautenticazione a un dispositivo Google Home, pensa che la rete sia interrotta e crea una rete Wi-Fi in modo che tu possa connetterti nuovamente ad essa e riconfigurarla per una nuova Wi-Fi rete. I frame di deautenticazione (che sono un tipo di frame di gestione) possono essere inviati sniffando l'indirizzo IP ed è difficile proteggersi, poiché le reti WPA2 non crittografano i frame di gestione.
Tuttavia, allo stesso modo in cui puoi abusare dell'API locale del dispositivo Google Home e collegarlo a un Google account essendo sulla stessa rete Wi-Fi, puoi fare lo stesso una volta connesso ad esso quando è configurato modalità.
Ascolto da remoto tramite il microfono di Google Home
Kunze ha scritto e testato una prova dettagliata di come un Google Home Mini potrebbe essere utilizzato per spiare qualcuno.
- Crea un account Google "attaccante".
- Raggiungi la vicinanza wireless di Google Home.
- Inizia a inviare pacchetti di deautenticazione a Google Home.
- Connettiti alla rete di configurazione di Google Home.
- Esegui lo script Python per collegare il dispositivo all'account Google dell'aggressore.
- Interrompi l'invio di pacchetti di deautenticazione e attendi che il dispositivo si connetta a Internet.
- Ora puoi eseguire comandi sul dispositivo Google Home, incluso fargli chiamare il tuo numero di telefono.
Un utente malintenzionato può anche fare in modo che il dispositivo invii richieste HTTP arbitrarie all'interno della rete del proprietario. Ciò aumenta la superficie di attacco poiché un utente malintenzionato potrebbe tentare di interfacciarsi con altri dispositivi sulla rete, incluso il router.
Google ha risolto il problema
Il lato positivo è che dopo che Kunze ha segnalato questo problema l’8 gennaio 2021, Google alla fine ha risolto il problema. Non puoi più collegare un account a un dispositivo Google Home senza un invito da parte dell'account già collegato e non puoi più chiamare un numero di telefono da remoto tramite una routine. Inoltre, sui dispositivi dotati di display, la rete creata dal dispositivo per la configurazione è protetta da WPA2 e richiede una password per accedervi.
Sebbene questa vulnerabilità sia stata scoperta solo ora, non è impossibile che qualcun altro l'abbia scoperta e ne abbia abusato lui stesso. Se sei preoccupato per i dispositivi che ascoltano sempre, questa è sicuramente una giustificazione. Anche se Questo problema specifico è stato risolto, ciò non vuol dire che non ci saranno più vulnerabilità in futuro.
Fonte: Matt Kunze