Co musisz wiedzieć
- Badacz Matt Kunze odkrył, że hakerzy mogli szpiegować ludzi w ich domach za pośrednictwem inteligentnych głośników Google.
- W przypadku uzyskania dostępu „nieuczciwe” konto mogłoby podsłuchiwać Twoje rozmowy, sterować Twoimi urządzeniami i dokonywać zakupów online.
- Problem został zgłoszony w styczniu 2021 r., a Google naprawił go do kwietnia tego samego roku.
Krytyczny problem w głośniku Google Home umożliwił uszom wtargnięcie do domów użytkowników bez ich wiedzy.
Badacz Matt Kunze odkryty problemy w styczniu 2021 r. po eksperymentach z ich Nest Mini (przez Piszczący komputer). Stwierdzono, że nowe „nieuczciwe” konto można dodać za pośrednictwem aplikacji Home i pozwolić hakerowi zdalnie sterować urządzeniem za pośrednictwem interfejsu API chmury.
Kunze odkrył, że aby to zrobić, haker potrzebowałby nazwy urządzenia, certyfikatu i „identyfikatora chmury” z lokalnego interfejsu API. Mając to wszystko pod ręką, haker może wysłać prośbę o połączenie z urządzeniem przez serwer Google. Po wejściu do urządzenia, jakby był nieuczciwym użytkownikiem, Kunze odkrył wiele scenariuszy, które mogłyby mieć miejsce, gdyby haker zrobił to na urządzeniu niczego niepodejrzewającej osoby w domu.
Scenariusze znalezione przez badacza Kunze obejmują zdolność hakera do irytującego szpiegowania ludzi, ale mogą również wysyłać żądania HTTP w twojej sieci, a nawet odczytywać/zapisywać pliki na urządzeniu.
Gdyby to nie było wystarczająco niepokojące, haker mógłby zdalnie aktywować polecenie połączenia inteligentnego głośnika, umożliwiając Twojemu urządzeniu dzwonienie na ich telefon w dowolnym momencie i podsłuchiwanie rozmów toczących się w Twoim dom. W filmie demonstracyjnym Kunze, Nest Mini cztery światła świecą na niebiesko, co sygnalizuje, że trwa połączenie. Jednak każdy, kto po prostu przechodzi obok domu, może nie zwracać na to uwagi lub nie przypisywać tego wezwaniu w danym miejscu.
Ponadto haker uzyskałby możliwość kontrolowania przełączników inteligentnego domu, dokonywania transakcji online, odblokowywania drzwi domu i pojazdu, a nawet wykorzystywania kodu PIN używanego do inteligentnych zamków.
Kunze stwierdził podczas analizy, w jaki sposób znalazł tę frustrującą lukę w zabezpieczeniach, że nic z tego nie powinno być możliwe, jeśli uruchomisz najnowsze oprogramowanie układowe. Dzieje się tak dlatego, że kiedy zgłosili to do Google w 2021 roku, firma załatała problemy w kwietniu tego samego roku. Badacz otrzymał również 107 500 dolarów jako rekompensatę za znalezienie krytycznej usterki i szczegółowe jej zgłoszenie.
Badacz stwierdził, że poprawki Google obejmują potrzebę zaproszenia do „domu”, w którym urządzenie jest zarejestrowane, w celu połączenia go z kontem. Ponadto Google wyłączył możliwość zdalnego aktywowania polecenia połączenia za pomocą procedury. Aby jeszcze bardziej wzmocnić Twoje bezpieczeństwo, inteligentne urządzenia domowe Google z wyświetlaczem, takie jak Nest Hub Maks, są chronione hasłem WPA2, które jest wyświetlane za pomocą kodu QR na wyświetlaczu.