Ką tu turi žinoti
- Tyrėjas Mattas Kunze išsiaiškino, kad įsilaužėliai galėjo šnipinėti žmones jų namuose per „Google“ išmaniuosius garsiakalbius.
- Jei prieiga būtų gauta, „nesąžininga“ paskyra galėtų klausytis jūsų pokalbių, valdyti įrenginius ir pirkti internetu.
- Apie problemą pranešta 2021 m. sausio mėn., o „Google“ ją ištaisė iki tų pačių metų balandžio mėn.
Kritinė problema „Google Home“ garsiakalbyje leido ausims patekti į vartotojų namus be jų žinios.
Tyrėjas Mattas Kunze atrado problemas 2021 m. sausio mėn. po eksperimento su „Nest Mini“ (per Blyksnis kompiuteris). Nustatyta, kad naudojant „Home“ programą galima pridėti naują „nesąžiningą“ paskyrą, kuri leistų įsilaužėliui valdyti įrenginį nuotoliniu būdu per debesies API.
Kunze nustatė, kad norint tai padaryti, įsilaužėliui reikės įrenginio pavadinimo, sertifikato ir „debesies ID“ iš vietinės API. Turėdamas visa tai, įsilaužėlis gali išsiųsti įrenginio susiejimo užklausą per „Google“ serverį. Įsigijęs į įrenginį tarsi nesąžiningas vartotojas, Kunze atskleidė kelis scenarijus, kurie galėtų įvykti, jei įsilaužėlis tai padarytų su nieko neįtariančio asmens įrenginiu namuose.
Tyrėjo Kunze aptikti scenarijai apima įsilaužėlių gebėjimą nerimą keliančius žmones šnipinėti, tačiau jie taip pat gali pateikti HTTP užklausas jūsų tinkle ar net skaityti / rašyti failus įrenginyje.
Jei tai nebūtų pakankamai nerimą kelianti, įsilaužėlis galėtų nuotoliniu būdu suaktyvinti išmaniojo garsiakalbio skambinimo komandą, leidžia įrenginiui bet kuriuo momentu paskambinti jų telefonu ir klausytis jūsų telefone vykstančių pokalbių namai. Kunze demonstraciniame vaizdo įraše, „Nest Mini“ keturios lemputės šviečia mėlynai, o tai rodo, kad vyksta skambutis. Tačiau kiekvienas, kuris tiesiog vaikšto savo namuose, gali nekreipti į tai dėmesio arba nepriskirti to skambučiui į vietą.
Be to, įsilaužėlis būtų įgijęs galimybę valdyti jūsų išmaniųjų namų jungiklius, atlikti operacijas internetu, atrakinti jūsų namų ir transporto priemonių duris ir netgi panaudoti išmaniosioms spynoms naudojamą PIN kodą.
Kunzė pareiškė, kad sugedo, kaip jis rado šį varginantį pažeidžiamumą, kad tai neturėtų būti įmanoma, jei naudojate naujausią programinę-aparatinę įrangą. Taip yra todėl, kad 2021 m. apie tai pranešusi „Google“, tų pačių metų balandį bendrovė ištaisė problemas. Tyrėjas taip pat gavo 107 500 USD kaip kompensaciją už tai, kad rado kritinį trūkumą ir apie tai išsamiai pranešė.
Tyrėjas teigė, kad „Google“ pataisymai apima poreikį pakviesti į „Pagrindinį puslapį“, kuriame įrenginys yra registruotas, kad būtų galima susieti jį su jūsų paskyra. Be to, „Google“ išjungė galimybę nuotoliniu būdu suaktyvinti skambučio komandą per rutiną. Norėdami dar labiau sustiprinti jūsų saugumą, „Google“ išmanieji namų įrenginiai su ekranu, pvz., „Nest Hub Max“., yra apsaugoti WPA2 slaptažodžiu, kuris rodomas ekrane rodomu QR kodu.