Według eksperta ds. bezpieczeństwa niektóre inteligentne głośniki Google Home mogły zostać zhakowane, aby zdalnie sterować urządzeniem, a nawet słuchać prywatnych rozmów (otwiera się w nowej karcie).
Błąd został odkryty przez badacza cyberbezpieczeństwa Matta Kunze, który otrzymał 107,500 XNUMX euro premii za odpowiedzialne zgłoszenie go do Google.
Kunze, który badał swój osobisty mini głośnik Google Home pod kątem potencjalnych problemów, wyjaśnił w poście na blogu (otwiera się w nowej karcie), w jaki sposób znalazł sposób na dodanie kolejnego konta Google do urządzenia, co wystarczyłoby do podsłuchiwania na ludziach.
Dodaj złośliwe konta
Po pierwsze, atakujący musi bezprzewodowo znajdować się blisko urządzenia i nasłuchiwać adresów MAC z prefiksami powiązanymi z Google.
Następnie mogą wysyłać pakiety „zabicia”, aby odłączyć urządzenie od sieci i aktywować tryb konfiguracji. W trybie konfiguracji proszą o informacje o urządzeniu i wykorzystują te informacje do połączenia Twojego konta z urządzeniem i to wszystko! - może teraz szpiegować właścicieli urządzeń w Internecie i omijać Wi-Fi.
Ale ryzyko jest większe niż „po prostu” słuchanie rozmów ludzi. Wielu użytkowników inteligentnych głośników łączy swoje urządzenia z innymi inteligentnymi urządzeniami, takimi jak zamki do drzwi i inteligentne przełączniki. Dodatkowo badacz znalazł sposób na nadużycie polecenia „zadzwoń na numer telefonu” i poinstruowanie urządzenia, aby o określonej godzinie zadzwonił do atakującego i transmitował dźwięk na żywo.
Błąd został wykryty na początku 2021 r. i naprawiony w kwietniu 2022 r. Firma Google rozwiązała problem, tworząc nowy oparty na zaproszeniach system łączenia kont, blokujący wszystkie niedodane konta w Start.
Biorąc to pod uwagę, aby upewnić się, że nie ma ryzyka, użytkownikom Google Home zaleca się jak najszybszą aktualizację oprogramowania układowego urządzenia do najnowszej wersji.
Przez: BleepingComputer (Otwiera się w nowej karcie)