Desde o seu lançamento que os Altifalantes inteligentes da Google, e de outros fabricantes, estão sob escrutínio no que toca à segurança e à privacidade. Estes recolhem conversas e comandos de vez dos utilizadores, podendo ouvir mais do que deviam.
Uma situação agora reportada vem dar razão a algumas destas preocupações. Os altifalantes inteligentes da Google podiam ser espiados e conversas dos utilizadores ouvidas, bastando ao atacante instalar uma conta backdoor.
Conversas podiam ser ouvidas pelos atacantes
Apesar de ser uma situação preocupante, a falha que agora está a ser reportada foi já corrigida pela Google há alguns meses. Inicialmente foi relatada em janeiro de 2021, sendo mais tarde provada pelo investigador de segurança que a descobriu. A correção definitiva surgiu em abril de 2021.
Do que é agora revelado, pelo investigador que detetou a falha, a instalação de um backdoor pelo atacante permitia obter o controlo das gravações dos altifalantes inteligentes da Google. Isso transformava estes esquipamentos num espião. A vulnerabilidade foi descoberta ao avaliar a API HTTP local que poderia ser usada para captar o Tráfego HTTP cifrado através de um proxy.
Altifalantes inteligentes da Google expostos
O investigador descobriu que adicionar um novo utilizador ao dispositivo de destino é um processo de duas etapas. Rqueer apenas o nome do equipamento, o certificado e o “ID cloud” da sua API local. Com estas informações, era possível enviar um pedido de link ao servidor do Google.
Para além de ouvir as conversas, ao ter esta conta não autorizada no dispositivo, permitia controlar outros equipamentos na rede local.
Os altifalantes inteligentes da Google podiam controlar interruptores inteligentes, fazer compras online, abrir portas e veículos remotamente ou forçar furtivamente o PIN do utilizador em fechaduras inteligentes.
Segurança esteve comprometida por esta falha grave
O especialista em segurança encontrou também uma forma de abusar do comando “ligar para [número do telefone]”, adicionando-o a uma rotina maliciosa. Esta ativaria o microfone num horário específico, telefonando para o seu número e enviando uma transmissão ao vivo do microfone.
Como referido antes, esta é uma situação já resolvida e que a Google tratou de imediato. Criou medidas que reforçam a segurança dos seus altifalantes inteligentes, impedindo que situações destas se repitam no futuro.