Kaj morate vedeti
- Raziskovalec Matt Kunze je odkril, da bi hekerji lahko vohunili za ljudmi v njihovih domovih prek Googlovih pametnih zvočnikov.
- Če bi pridobili dostop, bi "lopovski" račun lahko poslušal vaše pogovore, nadzoroval vaše naprave in opravljal spletne nakupe.
- O težavi so poročali januarja 2021, Google pa jo je odpravil do aprila istega leta.
Kritična težava v zvočniku Google Home je omogočila, da so ušesa zrla v domove uporabnikov brez njihove vednosti.
Raziskovalec Matt Kunze odkriti težave januarja 2021 po eksperimentiranju z njihovim Nest Mini (prek Bleeping Computer). Ugotovljeno je bilo, da je mogoče nov "prevarantski" račun dodati prek aplikacije Home in bi hekerju omogočil nadzor nad napravo na daljavo prek API-ja v oblaku.
Kunze je ugotovil, da bi heker za to potreboval ime naprave, potrdilo in "ID v oblaku" iz lokalnega API-ja. Z vsem tem v roki bi lahko heker poslal zahtevo za povezavo naprave prek Googlovega strežnika. Potem ko je Kunze vstopil v napravo, kot da bi bil nepošteni uporabnik, je razkril več scenarijev, ki bi se lahko zgodili, če bi heker to naredil napravi nič hudega sluteče osebe doma.
Scenariji, ki jih je odkril raziskovalec Kunze, vključujejo hekerjevo sposobnost, da vznemirljivo vohuni za ljudmi, lahko pa tudi naredijo zahteve HTTP v vašem omrežju ali celo preberejo/pišejo datoteke v napravi.
Če to ne bi bilo dovolj vznemirjajoče, bi lahko heker na daljavo aktiviral ukaz za klic pametnega zvočnika, vaši napravi omogoča, da v katerem koli trenutku pokliče njihov telefon in prisluhne pogovorom, ki potekajo v vašem domov. V Kunzejevem predstavitvenem videu je Nest Mini štiri lučke svetijo modro, kar pomeni, da poteka klic. Vendar kdorkoli, ki preprosto hodi mimo v njihovem domu, morda ne bo pozoren na to ali pa tega ne bo pripisal klicu v kraju.
Poleg tega bi heker pridobil možnost nadzora stikal za vaš pametni dom, opravljanja spletnih transakcij, odklepanja vrat vašega doma in vozila ter celo uporabe vaše kode PIN, ki se uporablja za pametne ključavnice.
Kunze je med razčlenitvijo tega, kako je našel to frustrirajočo ranljivost, izjavil, da nič od tega ne bi smelo biti mogoče, če uporabljate najnovejšo vdelano programsko opremo. To je zato, ker ko so o tem poročali Googlu leta 2021, je podjetje aprila istega leta odpravilo težave. Raziskovalec je prejel tudi 107.500 dolarjev kot nadomestilo za iskanje kritične napake in podrobno poročanje o njej.
Raziskovalec je izjavil, da Googlovi popravki vključujejo potrebo po povabilu v »domov«, kjer je naprava registrirana, da jo povežete z vašim računom. Prav tako je Google onemogočil možnost aktiviranja ukaza za klic na daljavo prek rutine. Za dodatno krepitev vaše varnosti so Googlove pametne domače naprave z zaslonom, kot je Nest Hub Max, so zaščiteni z geslom WPA2, ki je prikazano prek kode QR na zaslonu.