Scovata una grave vulnerabilità che trasformava in spioni Google Assistant e Samsung Bixby (aggiornato)

Roberto Artigiani

I ricercatori di Checkmarx hanno identificato una vulnerabilità in Android che poteva consentire a malintenzionati di ottenere foto, video, audio e localizzazione senza che gli utenti potessero accorgersene. L’exploit è legato in particolare agli assistenti vocali di Google e Samsung e, a detta delle due aziende, dovrebbe essere stato risolto già la scorsa estate.

Entrando più in dettaglio Google Assistant e Bixby contenevano una falla che permetteva a un’app – anche apparentemente innocua come quelle per il meteo – di inviare del codice legato a un input vocale per poter accedere a tutte le funzionalità degli assistenti. Questi infatti godono di un sistema speciale di autorizzazioni che gli permette di poter scattare foto (con la relativa geolocalizzazione), catturare video e registrare audio senza che l’utente debba necessariamente fornire il proprio consenso.

LEGGI ANCHE: Il Black Friday sta arrivando

Quindi l’app malevola, una volta installata, poteva inviare in background una “richiesta vocale” per iniziare a spiare e richiedere solamente il permesso per l’accesso allo spazio di archiviazione (per coprire le proprie tracce). In particolare sui Pixel era possibile sfruttare anche i sensori di prossimità per poter capire se l’utente si trovava vicino al dispositivo. I ricercatori infatti con questo sistema sono riusciti a registrare audio perfino durante una telefonata.

Google e Samsung sono state prontamente avvertite dai ricercatori a luglio, quando la vulnerabilità è stata identificata. Entrambe hanno dichiarato di aver risolto la falla con un rilascio di una patch di sicurezza nel corso dello stesso mese.

Aggiornamento20 novembre 2019 ore 18:30

Google ha confermato che l’anomalia riguarda anche smartphone di altri produttori, ma non ha specificato quali, aggiungendo però che ha condiviso con tutti la patch che risolve la problematica. A minima rassicurazione rimane comunque il fatto che durante un attacco lo schermo mostra se la fotocamera è eventualmente in uso. Vi faremo sapere non appena emergeranno maggiori dettagli sulla questione.

Via: Cnet, Ars TechnicaFonte: Checkmarx