Оно што треба да знате
- Истраживач Матт Кунзе открио је да су хакери могли шпијунирати људе у њиховим домовима преко Гоогле паметних звучника.
- Ако је приступ добијен, „неваљани“ налог би могао да слуша ваше разговоре, контролише ваше уређаје и купује на мрежи.
- Проблем је пријављен у јануару 2021, а Гоогле их је поправио до априла исте године.
Критичан проблем у оквиру звучника Гоогле Хоме омогућио је ушима да уђу у домове корисника без њиховог знања.
Истраживач Матт Кунзе откривено проблеми у јануару 2021. након експериментисања са њиховим Нест Мини (преко Блеепинг Цомпутер). Утврђено је да се нови „неваљани“ налог може додати преко апликације Хоме и дозволити хакеру да даљински контролише уређај преко АПИ-ја у облаку.
Кунзе је открио да ће хакеру за ово бити потребно име уређаја, сертификат и „ИД у облаку“ из локалног АПИ-ја. Уз све ово у руци, хакер би могао да пошаље захтев за повезивање за уређај преко Гоогле-овог сервера. Након што је ушао у уређај као да је лажан корисник, Кунзе је открио више сценарија који би се могли догодити ако хакер то уради на уређају несуђене особе код куће.
Сценарији које је открио истраживач Кунзе укључују способност хакера да узнемирујуће шпијунира људе, али они такође могу да постављају ХТТП захтеве на вашој мрежи или чак читају/пишу датотеке на уређају.
Ако ово није било довољно узнемирујуће, хакер би могао даљински да активира команду позива паметног звучника, омогућавајући вашем уређају да позове њихов телефон у било ком тренутку и да слуша разговоре који се воде у вашем кућа. У Кунзеовом демонстрационом видеу, Нест Мини четири светла светле плаво, што сигнализира да је у току позив. Међутим, свако ко само прође у свом дому можда неће обратити пажњу на ово или можда то неће приписати позиву на неком месту.
Поред тога, хакер би добио могућност да контролише ваше паметне кућне прекидаче, врши онлајн трансакције, откључава врата вашег дома и возила, па чак и користи ваш ПИН који се користи за паметне браве.
Кунзе је током своје анализе о томе како је пронашао ову фрустрирајућу рањивост изјавио да ништа од овога не би требало бити могуће ако покренете најновији фирмвер. То је зато што када су ово пријавили Гоогле-у 2021. године, компанија је закрпила проблеме у априлу исте године. Истраживач је такође добио 107.500 долара као компензацију за проналажење критичне мане и њено детаљно извештавање.
Истраживач је навео да Гуглове исправке укључују потребу за позивом у „Кућу“ на коју је уређај регистрован да би се повезао са вашим налогом. Такође, Гоогле је онемогућио могућност даљинског активирања команде за позив путем рутине. Да бисте додатно ојачали вашу безбедност, Гоогле паметни кућни уређаји са екраном, попут Нест Хуб Макс, заштићени су ВПА2 лозинком која се приказује преко КР кода на екрану.