Altifalantes inteligentes Google podem ser espiados e conversas gravadas!

Rui Bacelar
Comentar

Os altifalantes inteligentes são a "casa" das assistentes virtuais como a Assistente Google, Alexa da Amazon, entre outras. São pequenos, médios ou grandes altifalantes com ligação à Internet, vários microfones incorporados e, em alguns casos, até câmaras.

Posto isto, apesar de a sua utilidade ser inegável como centro de controlo para a Smart Home, como meio de reprodução de música e conteúdos multimédia, o perigo de estar alguém à escuta é real. Infelizmente, agora trazemos um desses casos.

Conversas podiam ser ouvidas através dos altifalantes inteligentes da Google

altifalante inteligente Google Home mini

Tendo, porém, um interruptor físico para desligar os microfones e a garantia reiterada pela Google, Amazon e demais tecnológicas de proteção da privacidade do utilizador, certo é que existem lapsos. Algo que agora damos a conhecer e que nos preocupa.

O alerta foi dado pelos nossos colegas da publicação ChromeUnboxed, página dedicada aos avanços e notícias da Google, desta vez com uma tónica mais preocupante. Porém, é algo que em última análise nos pode favorecer enquanto consumidores e utilizadores.

Passo a explicar. Foi lançado um desafio à comunidade de programadores e engenheiros para tentar quebrar a segurança dos altifalantes inteligentes da Google. Tarefa e desafio em que o hacker Matt Kunze foi deveras bem-sucedido.

Por outras palavras, uma competição de hacking ético para, futuramente, reforçar a segurança dos dispositivos cujo desafio consistia agora em "quebrar".

Matt Kunze foi o hacker que conseguiu aceder aos altifalantes Google Home

O vetor de ataque seguido explorou as vulnerabilidades de todo o ecossistema Google. Em particular, através da adição de novos contactos / perfis à aplicação Google Home. A partir daí, estando nessa "casa" com os utilizadores autorizados, foi relativamente fácil para este hacker aceder aos altifalantes inteligentes da Google e subverter as suas capacidades de comunicação.

Ainda que esta factualidade possa assustar o comum leitor, a falha já foi reportada e corrigida pela Google há alguns meses. Aliás, conforme foi revelado, a falha foi apontada em janeiro de 2021, sendo posteriormente demonstrada pelo investigador que a descobriu. Em seguida, em abril de 2021 a Google viria definitivamente a corrigir esta lacuna.

O que o investigador demonstrou foi a que instalação de um backdoor pelo hacker permitia o acesso e controlo das gravações dos altifalantes inteligentes da Google. Naturalmente, tal facto transformaria estes gadgets inteligentes em algo perigoso para a nossa privacidade.

Mais concretamente, colhendo o testemunho do hacker, a vulnerabilidade foi descoberta ao apurar a API HTTP local. Elemento que podia ser empregue para receber o Tráfego HTTP protegido por criptografia através de um proxy.

Empresa está a par do sucedido e já corrigiu esta vulnerabilidade dos Google Home

Google Home mini

O hacker ético e investigador de segurança descobriu que, o processo de adicionar um novo utilizador ao dispositivo inteligente da Google é composto por duas etapas.

Apesar de exigir apenas o nome do equipamento, pede também o "ID cloud" da sua API local, sendo aqui que, estando na posse desses dois elementos, era possível enviar um pedido de ligação ao servidor do Google.

Os altifalantes inteligentes Google podiam assim ser usados para fins como:

  • Controlar interruptores inteligentes em casa
  • Abrir ou fechar janelas e portas de garagem inteligentes
  • Abrir ou fechar determinados veículos
  • Gravar conversas feitas pelos utilizadores (comandos de voz)
  • Funções de entretenimento e controlo de multimédia

Felizmente, o hacker reportou estas descobertas à Google que usou esse conhecimento pare reforçar a segurança do seu ecossistema de produtos inteligentes. Portanto, o utilizador e consumidor acabou por sair beneficiado desta situação alarmante.

Note-se que só agora é que estas conclusões foram publicamente divulgadas de modo a não dar informações úteis a potenciais hackers mal-intencionados.

Editores 4gnews recomendam:

Rui Bacelar
Rui Bacelar
Na escrita e comunicação repousa o gosto, nas leis a formação. Ocupa-se com a atualidade tecnológica na 4gnews. Email: ruibacelar@4gnews.pt