Kas jums jāzina
- Pētnieks Mets Kunze atklāja, ka hakeri varēja izspiegot cilvēkus viņu mājās, izmantojot Google viedos skaļruņus.
- Ja piekļuve tiktu iegūta, "negodīgs" konts varētu klausīties jūsu sarunas, kontrolēt jūsu ierīces un veikt pirkumus tiešsaistē.
- Par problēmu tika ziņots 2021. gada janvārī, un Google tās novērsa līdz tā paša gada aprīlim.
Kritiska problēma Google mājas skaļrunī ļāva ausīm iekļūt lietotāju mājās bez viņu ziņas.
Pētnieks Mets Kunze atklāja problēmas 2021. gada janvārī pēc eksperimentēšanas ar savu Nest Mini (izmantojot Pīkstošs dators). Tika konstatēts, ka, izmantojot lietotni Home, var pievienot jaunu "negodīgu" kontu, kas ļaus hakeram attālināti kontrolēt ierīci, izmantojot mākoņa API.
Kunze atklāja, ka, lai to izdarītu, hakeram būtu nepieciešams ierīces nosaukums, sertifikāts un "mākoņa ID" no vietējās API. Ņemot to visu rokās, hakeris caur Google serveri varētu nosūtīt ierīces saites pieprasījumu. Iedziļinoties ierīcē tā, it kā viņi būtu negodīgi lietotāji, Kunze atklāja vairākus scenārijus, kas varētu notikt, ja hakeris to darītu ar nenojaušai cilvēka ierīci mājās.
Pētnieka Kunzes atrastie scenāriji ietver hakeru spēju satraucoši izspiegot cilvēkus, taču viņi var arī veikt HTTP pieprasījumus jūsu tīklā vai pat lasīt/rakstīt failus ierīcē.
Ja tas nebūtu pietiekami satraucošs, hakeris varētu attālināti aktivizēt viedā skaļruņa zvanīšanas komandu, ļaujot ierīcei jebkurā brīdī piezvanīt uz viņu tālruni un klausīties sarunas, kas notiek jūsu mājas. Kunzes demonstrācijas video, Nest Mini četras gaismas spīd zilā krāsā, kas norāda, ka notiek izsaukums. Tomēr ikviens, kas vienkārši pastaigājas pa mājām, var tam nepievērst uzmanību vai to nevar attiecināt uz zvanu uz kādu vietu.
Turklāt hakeris būtu ieguvis iespēju kontrolēt jūsu viedās mājas slēdžus, veikt tiešsaistes darījumus, atslēgt jūsu mājas un transportlīdzekļa durvis un pat izmantot jūsu viedajām slēdzenēm izmantoto PIN.
Kad Kunze atklāja šo nomākto ievainojamību, viņš paziņoja, ka, ja izmantojat jaunāko programmaparatūru, tas nebūtu iespējams. Tas ir tāpēc, ka, kad viņi par to ziņoja Google 2021. gadā, uzņēmums problēmas laboja tā paša gada aprīlī. Pētnieks arī saņēma 107 500 USD kā kompensāciju par kritiskās nepilnības atrašanu un detalizētu ziņošanu par to.
Pētnieks norādīja, ka Google labojumi ietver nepieciešamību pēc uzaicinājuma uz "mājas lapu", kurā ierīce ir reģistrēta, lai to saistītu ar jūsu kontu. Turklāt Google atspējoja iespēju attālināti aktivizēt zvanīšanas komandu, izmantojot rutīnu. Lai vēl vairāk uzlabotu jūsu drošību, Google viedās mājas ierīces ar displeju, piemēram, Nest Hub Max, ir aizsargāti ar WPA2 paroli, kas tiek parādīta, izmantojot displejā redzamo QR kodu.