Głośniki domowe sprawiają, że prywatność jest wątpliwa – błąd w Google Home umożliwia szpiegowanie
Informacyjny.kim
Dla krytycznych dziennikarzy i badaczy technologicznych od dawna było jasne, że różne głośniki domowe – tj. Urządzenie z mikrofonami, głośnikami i bezpośrednim połączeniem z Google, Amzon i tym podobne – są najgorszym scenariuszem dla prywatności. Podsłuchiwanie jest również możliwe za pośrednictwem smartfonów, ale przynajmniej nie kontrolują (jeszcze?) gospodarstwa domowego.
Według najnowszego raportu, błąd w inteligentnych głośnikach Google Home umożliwił instalację konta backdoora, które można było wykorzystać do sterowania urządzeniem i uzyskania dostępu do nagrań mikrofonu. Krótko mówiąc, hakerzy mogą przejąć urządzenia Google i szpiegować użytkowników, podsłuchując ich rozmowy.
Bleeping Computer zgłasza, że błąd (błąd?) w głośnikach Google Home umożliwiono utworzenie konta backdoora, które można było wykorzystać do zdalnego sterowania urządzeniem i dostępu do sygnału mikrofonowego, potencjalnie zamieniając je w narzędzie szpiegowskie.
Luka została odkryta przez badacza Matta Kunze, który otrzymał nagrodę w wysokości 107 500 USD za zgłoszenie błędów do Google w zeszłym roku. Pod koniec zeszłego tygodnia Kunze opublikował szczegóły techniczne i scenariusz ataku, który ilustruje lukę.
Podczas eksperymentów z głośnikiem Google Home mini Kunze odkrył, że nowe konta utworzone za pomocą aplikacji Google Home mogą wysyłać polecenia do urządzenia za pośrednictwem interfejsu Cloud API. Aby przechwycić zaszyfrowany ruch HTTPS i potencjalnie uzyskać token autoryzacji użytkownika, badacz użył skanowania Nmapa, aby zlokalizować port lokalnego interfejsu HTTP API Google Home i skonfigurować proxy.
Kunze odkrył, że dodanie nowego użytkownika do urządzenia docelowego wymaga dwóch kroków: uzyskania nazwy urządzenia, certyfikatu i „identyfikatora chmury” z lokalnego interfejsu API. Informacje te umożliwiają wysłanie żądania połączenia do serwera Google. Aby dodać nieautoryzowanego użytkownika do urządzenia docelowego Google Home, Kunze zaimplementował proces łączenia w skrypcie Pythona, który zautomatyzował wyodrębnianie danych urządzenia lokalnego i odtworzył żądanie połączenia.
Kunze odkrył problemy w styczniu 2021 r. i podał dodatkowe szczegóły w marcu 2021 r. Google naprawił wszystkie problemy w kwietniu 2021 r.
Łatka zawiera nowy, oparty na zaproszeniach system obsługi łączenia kont, który blokuje wszystkie próby niedodane do strony głównej.
Uwierzytelnianie w Google Home jest nadal możliwe, ale nie można go użyć do połączenia nowego konta, więc lokalny interfejs API, który szpiegował podstawowe dane urządzenia, jest również niedostępny.
Należy mieć świadomość, że takie błędy i luki w bezpieczeństwie urządzeń – które są instalowane celowo lub nieumyślnie – są regułą, a nie wyjątkiem w cyfrowym świecie. Dlatego powinieneś zwrócić uwagę na własne bezpieczeństwo. Dla branży cyfrowej dane są nową ropą naftową i nieustannie starają się rozciągać granice tego, co jest dozwolone i oferować bezpłatne usługi w celu uzyskania danych użytkowników.
Komentarze są wyłączone