Amazon Echo
I ricercatori cinesi di Tencent hanno presentato i risultati di un progetto durato un mese per escogitare un modo per convertire segretamente lo smart speaker Echo di Amazon in un dispositivo di sorveglianza domestica. Wired riporta che gli esperti di Tencent, Wu Huiyu e Qian Wenxiang, hanno scovato più di un bug negli Eco di seconda generazione che consentirebbero a un hacker di trasmettere lo streaming audio dal microfono del dispositivo. Tuttavia, chi possiede Echo non dovrebbe preoccuparsi: i ricercatori hanno già comunicato ad Amazon le loro scoperte e la società ha già lanciato gli aggiornamenti automatici di sicurezza. (L’attacco oltretutto è abbastanza sofisticato e richiede l’accesso alla rete Wi-Fi bersaglio).
Bodycam dei corpi di polizia
Sabato, un consulente di nome Josh Mitchell della società di sicurezza informatica Nuix ha presentato i risultati di un test che aveva condotto su cinque diversi modelli di bodycam che le società di sorveglianza stanno distribuendo alle forze dell’ordine statunitensi. Con l’eccezione di un dispositivo realizzato da Digital Ally, Mitchell è stato in grado di scaricare, modificare e quindi ricaricare da remoto i filmati delle telecamere senza lasciare alcuna traccia.
Mitchell ha anche escogitato un modo per riprodurre in streaming i filmati dalle telecamere, consentendo potenzialmente a un criminale di rintracciare la posizione di un poliziotto e prevedere le imminenti azioni di contrasto. Ha inoltre scoperto che potrebbe infettare alcune telecamere con malware, che potrebbe poi diffondersi ad altri database e sistemi in un dipartimento di polizia quando l’ufficiale di turno sincronizza il dispositivo con un computer collegato alla rete.
Segreteria Telefonica e Voicemail
L’hacker Martin Vigo ha presentato una ricerca che mostra che alcune vulnerabilità delle voicemail, più comunemente conosciute come “segreterie telefoniche”, che potrebbebero consentire a cybercriminali di accedere agli account di servizi online come PayPal e WhatsApp. Secondo Vigo, la maggior parte dei principali operatori non è riuscita ad aggiornare la sicurezza di tali funzioni e fa ancora affidamento su PIN facilmente identificabili.
Come specificato sempre dall’hacker, anche le persone che hanno modificato il codice dall’impostazione predefinita sono vulnerabili agli attacchi brute force, poiché la maggior parte dei sistemi di voicemail non ha un limite al numero di volte in cui è possibile indovinare la password. Ad esempio: una volta entrati nel sistema, gli hacker possono richiedere a WhatsApp di inviare il codice di autenticazione tramite una telefonata. Se il soggetto non risponde, la chiamata viene trasferita alla segreteria telefonica dove gli hacker possono sentirla.
Vigo afferma che lievi variazioni su questo schema di attacco potrebbero consentire ad hacker di entrare in account PayPal, eBay, LinkedIn.
Rimandiamo per l’argomento al nostro articolo nel quale segnaliamo che durante la conferenza sulla sicurezza informatica DefCon di Las Vegas è stato condotto un esperimento di violazione del sito per le votazioni della Florida mirato a sensibilizzare sulle vulnerabilità al sistema elettorale degli Stati Uniti. Protagonista, un bambino di 11 anni che è riuscito a violare una replica del sito dello stato americano per le votazioni “elettroniche” online.