Il 2018 verrà ricordato come l’anno dei dispositivi per le smart home, prodotti pensati in modo da potersi integrare all’interno dell’ambito domestico, andando a gestire e automatizzare azioni come la regolazione della temperatura nelle stanze, gli impianti di illuminazione, i sistemi di videosorveglianza, la riproduzione dei contenuti multimediali e così via. E se una vulnerabilità ne minaccasse la sicurezza?
Home Hub è vulnerabile?
È quanto afferma Jerry Gamblin, hacker che ha messo alla prova il software delegato a gestire Google Home Hub, lo smart display presentato all’inizio del mese dal gruppo di Mountain View e ancora non commercializzato nel nostro paese. Sfruttando un’API, è riuscito a provocare il riavvio remoto del device, forzandolo così a un comportamento anomalo e potenzialmente pericoloso per l’utente. Il metodo è descritto nel dettaglio in un post pubblicato sul suo blog e illustrato nel breve filmato condiviso su Twitter, visibile in streaming di seguito (insieme a una bottiglia di whiskey e a una crema idratante per le mani).
I am not an IOT security expert, but I am pretty sure an unauthenticated curl statement should not be able to reboot the @madebygoogle home hub. pic.twitter.com/gCWFm5Ofyb
— Jerry Gamblin (@JGamblin) October 27, 2018
La replica di Google
La risposta di bigG non si è fatta attendere ed è stata affidata alla redazione del sito Android Authority. Da Mountain View si afferma che tutto funziona a dovere e che non ci sono pericoli per la sicurezza dell’utente né per il suo ambiente domestico, in quanto il comando provoca il riavvio solo ed esclusivamente se il device che lo invia (in questo caso un laptop) è connesso allo stesso network WiFi di Home Hub. Riportiamo di seguito la posizione di Google, in forma integrale e tradotta.
Tutti i dispositivi Google Home sono progettati tenendo in considerazione sicurezza e privacy come priorità, impiegando meccanismi hardware di protezione per il boot, così da assicurare che solo codice autenticato da Google possa essere eseguito sui device. In aggiunta, ogni comunicazione che porta con sé informazioni sull’utente è autenticata e crittografata. Una recente affermazione a proposito della sicurezza di Google Home Hub non è accurata. Le API menzionate sono usate dalle applicazioni mobile per configurare il dispositivo e sono accessibili solo quando le app e il device Google Home si trovano nella stessa rete WiFi. A differenza di quanto affermato, non ci sono prove che le informazioni dell’utente siano a rischio.
Nessun exploit per bigG, dunque. Secondo Gamblin invece i rischi ci sono e meriterebbero di essere trattati come tali: mediante il comando è possibile non solo riavviare Home Hub, ma anche eliminare le impostazioni del network domestico e disabilitare l’invio delle notifiche agli altri dispositivi dell’utente. Questo avverrebbe però solo ed esclusivamente nel caso di connessione alla rete WiFi da parte di un malintenzionato, azione che in ogni caso esporrebbe a possibili pericoli tutti i dispositivi e le apparecchiature collegate, non solo lo smart display di Google.