Amit tudnod kell
- Matt Kunze kutató felfedezte, hogy a hackerek a Google okoshangszóróin keresztül kémkedhettek emberek után az otthonukban.
- Ha megtörténik a hozzáférés, egy "gazember" fiók képes lesz hallgatni az Ön beszélgetéseit, irányítani az eszközeit, és online vásárolni.
- A problémát 2021 januárjában jelentették, és a Google ugyanabban az évben áprilisig kijavította őket.
Egy kritikus probléma a Google Home hangszóróban lehetővé tette, hogy a fülek a felhasználók tudta nélkül benyúljanak a felhasználók otthonába.
Matt Kunze kutató felfedezték a problémák 2021 januárjában, miután kísérleteztek a Nest Minivel (via Csipogó számítógép). Azt találták, hogy egy új "gazember" fiók hozzáadható a Home alkalmazáson keresztül, és lehetővé teszi, hogy a hacker távolról irányítsa az eszközt a felhő API-n keresztül.
Kunze úgy találta, hogy ehhez a hackernek szüksége van az eszköz nevére, tanúsítványára és a helyi API-ból származó "felhőazonosítóra". Mindezek birtokában egy hacker linkkérést küldhet az eszközhöz a Google szerverén keresztül. Miután bement az eszközbe, mintha szélhámos felhasználó lenne, Kunze több forgatókönyvet is feltárt, amelyek akkor történhetnek meg, ha egy hacker ezt tenné egy gyanútlan ember otthonában.
Kunze kutató talált forgatókönyvei között szerepel a hacker azon képessége, hogy idegesítően kémkedjen az emberek után, de HTTP kéréseket is küldhet a hálózaton, vagy akár fájlokat is olvashat/írhat az eszközön.
Ha ez nem lenne elég nyugtalanító, egy hacker távolról aktiválhatja az intelligens hangszóró hívási parancsát, lehetővé teszi, hogy az eszköz bármikor felhívja a telefonját, és meghallgassa az Ön telefonjában zajló beszélgetéseket itthon. Kunze bemutató videójában a Nest Mini négy lámpa kéken világít, ami azt jelzi, hogy hívás van folyamatban. Azonban, aki csak sétál az otthonában, lehet, hogy nem figyel erre, vagy nem tulajdonítja ezt egy helyben történő hívásnak.
Ezenkívül a hacker képes lett volna vezérelni az okosotthon kapcsolóit, online tranzakciókat bonyolítani, kinyitni az otthona és a jármű ajtaját, és még az intelligens zárakhoz használt PIN-kódot is kihasználni.
Kunze azt nyilatkozta, amikor meghibásodott, hogyan találta meg ezt a frusztráló sebezhetőséget, hogy ez nem lehetséges, ha a legújabb firmware-t futtatja. Ennek az az oka, hogy amikor 2021-ben jelentették ezt a Google-nak, a vállalat ugyanazon év áprilisában javította a problémákat. A kutató emellett 107 500 dollárt kapott kompenzációként a kritikus hiba megtalálásáért és annak részletes jelentéséért.
A kutató kijelentette, hogy a Google javításai között szerepel, hogy meghívót kell küldeni arra az „Otthonra”, amelyre az eszköz regisztrálva van, hogy összekapcsolhassa az Ön fiókjával. Ezenkívül a Google letiltotta a hívási parancsok távoli aktiválásának lehetőségét egy rutinon keresztül. A biztonság további megerősítése érdekében a Google okosotthoni eszközei kijelzővel, mint például a Nest Hub Max, WPA2 jelszóval védettek, amely a kijelzőn megjelenő QR-kódon keresztül jelenik meg.