O que você precisa saber
- O pesquisador Matt Kunze descobriu que os hackers poderiam espionar as pessoas em suas casas por meio dos alto-falantes inteligentes do Google.
- Se o acesso fosse obtido, uma conta "desonesto" seria capaz de ouvir suas conversas, controlar seus dispositivos e fazer compras online.
- O problema foi relatado em janeiro de 2021 com o Google corrigindo-os em abril do mesmo ano.
Um problema crítico no alto-falante do Google Home permitia que os ouvidos invadissem as casas dos usuários sem que eles soubessem.
Pesquisador Matt Kunze descoberto os problemas em janeiro de 2021, depois de experimentar o Nest Mini (via Computador apitando). Verificou-se que uma nova conta "rogue" poderia ser adicionada por meio do aplicativo Home e permitiria que o hacker controlasse o dispositivo remotamente por meio da API da nuvem.
Kunze descobriu que, para fazer isso, o hacker precisaria do nome do dispositivo, do certificado e do "ID da nuvem" da API local. Com tudo isso em mãos, um hacker poderia enviar uma solicitação de link para o dispositivo por meio do servidor do Google. Depois de entrar no dispositivo como se fosse um usuário desonesto, Kunze desvendou vários cenários que poderiam ocorrer caso um hacker fizesse isso no dispositivo de uma pessoa desavisada em casa.
Os cenários encontrados pelo pesquisador Kunze incluem a capacidade do hacker de espionar as pessoas, mas eles também podem fazer solicitações HTTP em sua rede ou até mesmo ler/escrever arquivos no dispositivo.
Se isso não fosse perturbador o suficiente, um hacker poderia ativar remotamente o comando de chamada do alto-falante inteligente, permitindo que seu dispositivo ligue para o telefone a qualquer momento e ouça as conversas que ocorrem em seu lar. No vídeo de demonstração de Kunze, o Nest Mini quatro luzes brilham em azul, o que indica que está ocorrendo uma chamada. No entanto, qualquer pessoa que simplesmente passe por sua casa pode não prestar atenção a isso ou não atribuir isso a uma ligação em um local.
Além disso, o hacker teria a capacidade de controlar os interruptores de sua casa inteligente, fazer transações online, destrancar as portas de sua casa e do veículo e até mesmo alavancar seu PIN usado para fechaduras inteligentes.
Kunze afirmou durante seu detalhamento de como encontrou essa vulnerabilidade frustrante que nada disso seria possível se você executasse o firmware mais recente. Isso porque quando reportaram isso ao Google em 2021, a empresa corrigiu os problemas em abril desse mesmo ano. O pesquisador também recebeu $ 107.500 como compensação por encontrar a falha crítica e relatá-la em detalhes.
O pesquisador afirmou que as correções do Google incluem a necessidade de um convite para a "Casa" em que o dispositivo está registrado para vinculá-lo à sua conta. Além disso, o Google desativou a capacidade de ativar um comando de chamada remotamente por meio de uma rotina. Para fortalecer ainda mais sua segurança, os dispositivos domésticos inteligentes do Google com tela, como o Nest Hub Max, são protegidos por uma senha WPA2 que é mostrada por meio de um código QR no display.