Circa due mesi fa erano state scoperte otto vulnerabilità che consentivano di prendere il controllo di dispositivi Android, iOS, Windows, Linux e IoT, sfruttando la connessione Bluetooth. La stessa software house (Armis) ha individuato tre di esse anche negli smart speaker Amazon Echo e Google Home. Entrambe le aziende hanno già rilasciato una patch che risolve il problema.
La pericolosità di BlueBorne è dovuta alla sua modalità di propagazione. Le vulnerabilità possono essere sfruttate per eseguire varie tipologie di attacchi all’insaputa dell’utente. Non è necessario cliccare su un link o scaricare un file infetto, in quanto la diffusione avviene per “via aerea” e può estendersi velocemente ad altri dispositivi. Armis sottolinea che gli smart speaker di Amazon e Google sono costantemente in ascolto di un collegamento Bluetooth e non è possibile installare un antivirus. Eventuali malintenzionati possono ottenere il controllo del dispositivo e rubare informazioni sensibili.
Nel caso di Amazon Echo sono state scoperte due vulnerabilità che consentono l’esecuzione di codice remoto, mentre il bug presente in Google Home permette di eseguire un attacco DoS (Denial-of-Service). Considerato che gli altoparlanti sono molto popolari (si stimano 15 milioni di Echo e 5 milioni di Home venduti), il rischio per la sicurezza è piuttosto elevato. Amazon Echo è tra l’altro presente in molte aziende, per cui il furto di dati riservati può portare a conseguenze catastrofiche.
Sia Google che Amazon hanno rilasciato un aggiornamento risolutivo, ma gli esperti di Armis non escludono l’esistenza di altre vulnerabilità. Echo è basato su una vecchia versione del kernel Linux, mentre Home esegue Android. Prima o poi non riceveranno più update, quindi potrebbero diventare facili bersagli. L’unica soluzione possibile è non usarli più.