Scovata una grave vulnerabilità che trasformava in spioni Google Assistant e Samsung Bixby (aggiornato)

I ricercatori di Checkmarx hanno identificato una vulnerabilità in Android che poteva consentire a malintenzionati di ottenere foto, video, audio e localizzazione senza che gli utenti potessero accorgersene. L'exploit è legato in particolare agli assistenti vocali di Google e Samsung e, a detta delle due aziende, dovrebbe essere stato risolto già la scorsa estate.

Entrando più in dettaglio Google Assistant e Bixby contenevano una falla che permetteva a un'app - anche apparentemente innocua come quelle per il meteo - di inviare del codice legato a un input vocale per poter accedere a tutte le funzionalità degli assistenti. Questi infatti godono di un sistema speciale di autorizzazioni che gli permette di poter scattare foto (con la relativa geolocalizzazione), catturare video e registrare audio senza che l'utente debba necessariamente fornire il proprio consenso.

Quindi l'app malevola, una volta installata, poteva inviare in background una "richiesta vocale" per iniziare a spiare e richiedere solamente il permesso per l'accesso allo spazio di archiviazione (per coprire le proprie tracce).

In particolare sui Pixel era possibile sfruttare anche i sensori di prossimità per poter capire se l'utente si trovava vicino al dispositivo. I ricercatori infatti con questo sistema sono riusciti a registrare audio perfino durante una telefonata.

Google e Samsung sono state prontamente avvertite dai ricercatori a luglio, quando la vulnerabilità è stata identificata. Entrambe hanno dichiarato di aver risolto la falla con un rilascio di una patch di sicurezza nel corso dello stesso mese.