Mida peate teadma
- Teadlane Matt Kunze avastas, et häkkerid võisid Google'i nutikõlarite kaudu nende kodudes inimesi luurata.
- Juurdepääsu saavutamisel saaks "petturi" konto teie vestlusi pealt kuulata, teie seadmeid juhtida ja veebis oste sooritada.
- Probleemist teatati 2021. aasta jaanuaris ja Google parandas need sama aasta aprilliks.
Google Home'i kõlari kriitiline probleem võimaldas kõrvadel kasutajate teadmata kodudesse tungida.
Teadlane Matt Kunze avastatud probleemid 2021. aasta jaanuaris pärast nende Nest Miniga katsetamist (via Piiksuv arvuti). Leiti, et rakenduse Home kaudu saab lisada uue "petturi" konto, mis võimaldaks häkkeril pilve API kaudu seadet eemalt juhtida.
Kunze leidis, et selleks vajaks häkker seadme nime, sertifikaati ja kohalikust API-st pärit "pilve ID-d". Kui see kõik on käes, võib häkker saata Google'i serveri kaudu seadme linkimistaotluse. Pärast seda, kui Kunze läks seadmesse, nagu oleks tegemist petturitega, selgitas Kunze välja mitu stsenaariumi, mis võiksid aset leida juhul, kui häkker teeks seda pahaaimamatu inimese seadmega kodus.
Uurija Kunze leitud stsenaariumid hõlmavad häkkeri võimet inimeste järel närviliselt luurata, kuid nad võivad teha ka teie võrgus HTTP-päringuid või isegi seadmesse faile lugeda/kirjutada.
Kui see poleks piisavalt häiriv, saaks häkker kaugkõlarist aktiveerida helistamiskäsu, mis võimaldab teie seadmel igal hetkel helistada nende telefonile ja kuulata teie telefonis toimuvaid vestlusi Kodu. Kunze demonstratsioonivideos on Nest Mini neli tuld põlevad siniselt, mis annab märku, et kõne on käimas. Kuid igaüks, kes lihtsalt oma kodus mööda kõnnib, ei pruugi sellele tähelepanu pöörata või ei pruugi seda mingile kohale kutsuda.
Lisaks oleks häkker saanud võimaluse juhtida teie nutika kodu lüliteid, teha veebitehinguid, avada teie kodu ja sõiduki uksi ning isegi kasutada nutikate lukkude jaoks kasutatavat PIN-koodi.
Kunze väitis oma tõrjumise ajal, kuidas ta selle masendava haavatavuse leidis, et see ei tohiks olla võimalik, kui kasutate uusimat püsivara. Seda seetõttu, et kui nad 2021. aastal sellest Google'ile teatasid, parandas ettevõte probleemid sama aasta aprillis. Teadlane sai ka 107 500 dollarit hüvitisena kriitilise vea leidmise ja sellest üksikasjaliku teatamise eest.
Uurija väitis, et Google'i parandused hõlmavad vajadust kutsuda seade "Kodule", kuhu seade on registreeritud, et see teie kontoga linkida. Samuti keelas Google rutiini kaudu kaugkõnede aktiveerimise võimaluse. Turvalisuse veelgi tugevdamiseks kasutage ekraaniga Google'i nutikodu seadmeid, näiteks Nest Hub Max, on kaitstud WPA2 parooliga, mis kuvatakse ekraanil kuvatava QR-koodi kaudu.