Dispositivos como o Google Home têm vindo a tornar-se cada vez mais vulgares de se encontrarem nos lares dos utilizadores, mas ao mesmo tempo também levantam algumas questões em nível de privacidade – uma vez que, pelo seu próprio funcionamento, este género de dispositivos tendem a necessitar de estar constantemente ativos e prontos a recolher o que é dito.
A privacidade é um dos pontos mais importantes para este género de dispositivos, e como tal, uma recente falha descoberta sobre o Google Home poderia ter o potencial de ser uma verdadeira dor de cabeça para a Google.
O investigador de segurança Matt Kunze revelou ter descoberto uma falha sobre o Google Home, na qual seria possível usar o dispositivo para recolher o que estaria a ser dito na divisão do mesmo.
O investigador iniciou a sua análise depois de ter visto como era relativamente simples de adicionar novos utilizadores ao equipamento, usando a aplicação do mesmo. Ao mesmo tempo, o investigador ficou preocupado sobre as implicações a nível da segurança quando foi descoberto que, para qualquer utilizador com a conta adicionada no equipamento, poderia enviar comandos para o mesmo através das Rotinas do sistema.
Ao analisar mais detalhadamente a forma como o dispositivo adiciona as contas de utilizadores, o investigador acabaria por descobrir uma falha, onde qualquer pessoa poderia modificar os pedidos feitos do Google Home para os servidores da Google, intercetando os mesmos, e colocando qualquer conta com permissões de envio de comandos nesse dispositivo.
Com esta falha, o investigador conseguiu adicionar uma conta ao dispositivo, de forma remota, tendo permissões para enviar comandos para o mesmo ou recolher dados da localização onde o Google Home se encontrava.
Felizmente a falha foi rapidamente corrigida pela Google, depois de o investigador ter notificado a empresa da mesma. Apesar de a prova de conceito da falha ter sido entretanto publicada, a mesma já não funciona, tendo em conta a atualização de segurança que a Google realizou para os dispositivos no mercado.
A falha foi corrigida em meados de Abril de 2021, mas apenas agora a mesma foi oficialmente revelada pelo investigador e pela empresa. De notar, no entanto, que isso deixou um largo período de tempo em que a mesma estaria presente nos dispositivos – o Google Home foi originalmente lançado em 2016.
Não se conhecem casos onde a falha tenha sido usada – ou até conhecida – para ataques ou de forma maliciosa.
Nenhum comentário
Seja o primeiro!