Chi l’avrebbe mai detto che il nemico giaceva proprio sotto il nostro naso, o meglio, proprio accanto alle nostre cuffie? Mentre passiamo le notti a debuggare script Python o a cercare di far far girare un vecchio emulator in 4K senza far esplodere la CPU, un innocuo speaker USB potrebbe stare pianificando un attacco al nostro sistema operativo.
Secondo quanto riportato da Ars Technica, è stata scoperta una vulnerabilità che permette di infettare un PC tramite un collegamento USB, senza che l’utente debba nemmeno interagire con il dispositivo. Parliamo del Sound Blaster Katana V2X. Il meccanismo è da brividi: basta che lo speaker sia connesso per permettere un attacco ‘over-the-air’ che infetta i dispositivi collegati. In pratica, il tuo hardware audio ha deciso di fare il crossover tra un driver legittimo e un malware stealth.
Ma la vera perla di questo disastro non è solo il bug tecnico, che tra l’altro è una noia mortale per chiunque capisca di sicurezza, ma la risposta del produttore. Il venditore non considera questo comportamento come una vera e propria vulnerabilità. Sì, avete letto bene. È un po’ come se la tua serratura di casa decidesse di aprirsi con un colpo di tosse e il fabbro ti rispondesse: « Beh, è progettata per essere sensibile alle vibrazioni, non è colpa mia se un ladro sa come tossire! »
Da smanettone che non vede l’ora di smontare ogni cosa per capire come funziona, trovo questa risposta assolutamente offensiva. È il classico esempio di ‘corporate-speak’ che cerca di minimizzare un problema di sicurezza enorme parlando di ‘feature’ o di ‘comportamenti attesi’. Se un pezzo di hardware può eseguire codice non autorizzato sulla mia macchina, non è una caratteristica, è un buco di sicurezza monumentale.
Per noi che amiamo il mondo maker e l’integrazione totale tra hardware e software, questo è un segnale d’allarme rosso fuoco. Quando iniziamo a collegare tutto — dai controller CNC alle stampanti 3D, fino agli speaker smart — stiamo aumentando la superficie di attacco del nostro lab. Se non possiamo fidarci di un dispositivo che dovrebbe solo emettere suoni, che fine farà la nostra sicurezza quando useremo quel modulo ESP32 che abbiamo appena saldato noi stessi?
Il consiglio pratico? Se avete questo specifico modello, tenetevi pronti a isolarlo o a sperare in un firmware update che non sia solo un patch ‘fuffa’. E soprattutto, continuate a fare quello che facciamo noi: analizzate, verificate e, quando possibile, bypassate i driver proprietari che sembrano scritti da un bot senza scrupoli. La fiducia va guadagnata, non inclusa nel prezzo d’acquisto.
Source: How a USB-connected speaker can infect a PC without ever being touched