Lo que necesitas saber
- El investigador Matt Kunze descubrió que los piratas informáticos podrían haber espiado a las personas en sus hogares a través de los parlantes inteligentes de Google.
- Si se obtuvo acceso, una cuenta "falsa" podría escuchar sus conversaciones, controlar sus dispositivos y realizar compras en línea.
- El problema se informó en enero de 2021 y Google lo solucionó en abril de ese mismo año.
Un problema crítico dentro del altavoz de Google Home permitía que los oídos se metieran en los hogares de los usuarios sin su conocimiento.
Investigador Matt Kunze descubierto los problemas en enero de 2021 después de experimentar con su Nest Mini (a través de computadora pitido). Se descubrió que se podía agregar una nueva cuenta "falsa" a través de la aplicación Home y permitiría que el pirata informático controlara el dispositivo de forma remota a través de la API en la nube.
Kunze descubrió que para hacer esto, el pirata informático necesitaría el nombre del dispositivo, el certificado y la "ID de la nube" de la API local. Con todo esto en la mano, un pirata informático podría enviar una solicitud de enlace para el dispositivo a través del servidor de Google. Después de ingresar al dispositivo como si fuera un usuario deshonesto, Kunze desentrañó múltiples escenarios que podrían ocurrir si un pirata informático hiciera esto en el dispositivo de una persona desprevenida en casa.
Los escenarios encontrados por el investigador Kunze incluyen la capacidad del pirata informático para espiar a las personas de manera desconcertante, pero también podrían realizar solicitudes HTTP en su red o incluso leer/escribir archivos en el dispositivo.
Si esto no fuera lo suficientemente inquietante, un pirata informático podría activar de forma remota el comando de llamada del altavoz inteligente, permitir que su dispositivo llame a su teléfono en cualquier momento y escuche las conversaciones que tienen lugar en su hogar. En el video de demostración de Kunze, el Nest Mini cuatro luces brillan en azul, lo que indica que hay una llamada en curso. Sin embargo, cualquiera que simplemente pase por su casa puede no prestar atención a esto o no atribuirlo a una llamada en un lugar.
Además, el pirata informático habría obtenido la capacidad de controlar los interruptores de su hogar inteligente, realizar transacciones en línea, desbloquear las puertas de su hogar y de su vehículo, e incluso aprovechar su PIN utilizado para cerraduras inteligentes.
Kunze declaró durante su análisis de cómo encontró esta frustrante vulnerabilidad que nada de esto debería ser posible si ejecuta el firmware más reciente. Esto se debe a que cuando informaron esto a Google en 2021, la empresa solucionó los problemas en abril de ese mismo año. El investigador también recibió $107,500 como compensación por encontrar la falla crítica y reportarla en detalle.
El investigador afirmó que las correcciones de Google incluyen la necesidad de una invitación al "Inicio" en el que está registrado el dispositivo para vincularlo a su cuenta. Además, Google deshabilitó la capacidad de activar un comando de llamada de forma remota a través de una rutina. Para fortalecer aún más su seguridad, los dispositivos domésticos inteligentes de Google con pantalla, como el Nest Hub Max, están protegidos por una contraseña WPA2 que se muestra a través de un código QR en la pantalla.