Il ricercatore Matt Kunze ha scoperto che gli hacker possono spiare le conversazioni che avvengono nella tua casa attraverso uno smart speaker Google Home. Secondo BleepingComputer (via AndroidCentral), Kunze stava giocherellando con un Nest Mini quando ha scoperto che un account “backdoor” poteva essere creato utilizzando l’app Google Home.
Google Home: la vostra sicurezza è in grave pericolo
Ciò vale a dire che quell’account poteva quindi essere utilizzato per controllare lo smart speaker, dando a un cattivo attore l’accesso al microfono e ad altre funzionalità del dispositivo in modo remoto. Kunze ha ricevuto 107.500 dollari da Google per aver scoperto questa vulnerabilità, che ha trasformato il Google Nest Mini da uno smart speaker in un dispositivo capace di spiare le conversazioni dell’utente e altro ancora.
L’account rogue può essere anche utilizzato per controllare lo smart speaker inviando comandi remoti tramite l’API del cloud (interfaccia di programmazione di applicazioni). L’API permette a due o più programmi di computer di comunicare. Le informazioni necessarie per hackerare il Nest Mini includerebbero il nome del dispositivo, il certificato e l’ID del cloud. Con queste informazioni, l’hacker può inviare una richiesta al server di Google per ottenere un link allo smart speaker, consentendo al dispositivo di essere utilizzato per effettuare transazioni online, controllare elettrodomestici intelligenti, sbloccare la porta d’ingresso e altro ancora.
L’hacker potrebbe anche avere lo speaker che chiama il suo telefono, consentendogli di ascoltare una conversazione che si svolge nella casa utilizzando il microfono dello speaker. Il ricercatore è stato in grado di farlo creando una routine maligna che includeva il comando “chiamare [numero di telefono]”. Ciò ha attivato il microfono in un momento specifico, chiamando il telefono dell’attaccante (come menzionato nel paragrafo sopra), consentendogli di ascoltare tramite il microfono dello smart speaker.
Il problema è stato scoperto da Kunze a gennaio 2021 e Google lo ha risolto ad aprile 2021. Chi utilizza l’ultimo firmware non dovrebbe preoccuparsi di questo problema.