Nota di Redazione
Sono felice di pubblicare questo articolo che è un’opera di Valerio Mulas. Valerio ed io ci siamo conosciuti virtualmente intorno a novembre 2018, è un professionista ICT nel campo sicurezza e sviluppo ed è un nome accreditato su Twitter: uno di quelli, per intenderci, di cui si ha piacere di leggere tweet e lo si fa con una certa attenzione. Valerio ha recentemente pubblicato un paper in cui descrive una modalità, piuttosto semplice, per effettuare inviare comandi ad un televisore Android, vi presento il lavoro e vi lascio ai link ufficiali.
Le basi
Nel 2019 il numero dei dispositivi IoT è stimato intorno ai 23 miliardi. Di questo grande numero, una vasta quota è occupata da dispositivi basati su sistema operativo Android tra cui Smart TVs, Android TV Boxes, Amazon Echo, Amazon Fire and Amazon Key devices.
Ecco quindi che diventa elevato il rischio di una possibile azione di hacking da parte di un soggetto malintenzionato. Nel caso del paper pubblicato “Hacking an Android TV in 2 minutes” lo scenario prevede proprio la simulazione della presa di controllo remota del televisore. La simulazione, inoltre, ha avuto lo scopo di automatizzare la tipologia di tasti premuti, in modo da creare veri e propri script con una specifica concatenazione di comandi.
C’è un aspetto però più interessante legato alla simulazione: riguarda le azioni collaterali che si possono svolgere con un’azione di questa tipologia come, ad esempio, usare la TV per attività di mining di criptovaluta o trasformarla in una botnet oppure, meglio ancora, usarne il microfono inviando il flusso audio ad Amazon per la trascrizione in formato testo.
Oltre al paper è stato creato un video dimostrativo che illustra i passaggi da compiere per eseguire la simulazione ma tutti i dettagli sono contenuti nel documento che è possibile trovare di seguito.