Scoperta una vulnerabilità in alcuni smart speaker.


Visto il gran successo di vendite per gli Amazon Echo ed i Google Home è chiaro che questa tipologia di prodotti è sempre più richiesta dagli utenti, tuttavia in questi giorni Trend Micro, (nota multinazionale giapponese con sede a Los Angeles e specializzata in cybersicurezza), ha scoperto che alcuni modelli di smart speaker non garantiscono la massima sicurezza sia a causa della presenza di vulnerabilità, sia per via dell'errata configurazione della rete alla quale sono collegati. In pratica gli esperti della software house nipponica si sono concentrarti soprattutto sugli altoparlanti Sonos Play:1, Sonos One e Bose SoundTouch, ma non è detto che quanto rilevato non si possa estendere ad altri modelli, così come ad altri dispositivi per il cosiddetto "Internet delle cose". Ad ogni modo gli esperti hanno fatto sapere che gli smart speaker in questione possono innanzitutto essere individuati da remoto: utilizzando noti tool di scansione, (come, ad esempio, Shodan e NMap), sono stati, infatti, identificati tra 4.000 e 5.000 device Sonos e tra 400 e 500 Bose. In sostanza è sufficiente una porta lasciata aperta per consentire l'accesso remoto ed ottenere diverse informazioni sensibili, tra cui indirizzi e-mail associati ai servizi di streaming musicale e l'elenco di altri dispositivi connessi alla stessa Rete. Inoltre è anche possibile scoprire il BSSID della rete WiFi, grazie a quale un malintenzionato potrebbe risalire alla posizione geografica dell'access point o del router: monitorando il traffico si potrebbe scoprire quando l'utente dorme o non è in casa. Per di più altri tipi di attacco elencati dai ricercatori di Trend Micro prevedono l'invio di e-mail di phishing basate sulle preferenze musicali del target oppure di un messaggio vocale che invita al download di un aggiornamento, (che in realtà è un malware). Ma non è finita qui, in quanto lo scenario più inquietante riguarda la possibilità di eseguire varie operazioni con i comandi vocali: per esempio, il Sonos One supporta Alexa, mentre l'Assistente Google verrà aggiunto all'inizio del 2018. Insomma, sfruttando questa vulnerabilità un cybercriminale potrebbe inviare anche un file audio con specifici comandi vocali e considerando che molti smart speaker permettono di controllare termostati, luci e serrature, è facile immagine cosa potrebbe succedere se tali dispositivi venissero, infine, hackerati.

Di seguito un video pubblicato da Trend Micro che spiega il tutto:


Commenti