Un investigador de seguridad recibió una recompensa por errores de $107,500 por identificar problemas de seguridad en los parlantes inteligentes de Google Home que podrían explotarse para instalar puertas traseras y convertirlas en dispositivos de escuchas telefónicas.
Las fallas «permitieron que un atacante dentro de la proximidad inalámbrica instalara una cuenta de ‘puerta trasera’ en el dispositivo, lo que les permitía enviarle comandos de forma remota a través de Internet, acceder a la alimentación de su micrófono y realizar solicitudes HTTP arbitrarias dentro de la LAN de la víctima», dijo el investigador. , que se hace llamar Matt, revelado en un artículo técnico publicado esta semana.
Al realizar tales solicitudes maliciosas, no solo podría quedar expuesta la contraseña de Wi-Fi, sino que también proporcionaría al adversario acceso directo a otros dispositivos conectados a la misma red. Luego de la divulgación responsable el 8 de enero de 2021, Google solucionó los problemas en abril de 2021.
El problema, en pocas palabras, tiene que ver con cómo se puede aprovechar la arquitectura del software Google Home para agregar una cuenta de usuario de Google no autorizada al dispositivo de automatización del hogar de un objetivo.
En una cadena de ataque detallada por el investigador, un actor de amenazas que busca espiar a una víctima puede engañar a la persona para que instale una aplicación de Android maliciosa que, al detectar un dispositivo Google Home en la red, emite solicitudes HTTP sigilosas para vincular la cuenta de un atacante. al dispositivo de la víctima.
Llevando las cosas un poco más arriba, también surgió que, al organizar una Ataque de desautenticación Wi-Fi forzar a un dispositivo Google Home a desconectarse de la redse puede hacer que el dispositivo entre en un «modo de configuración» y cree su propia red Wi-Fi abierta.
El actor de amenazas puede conectarse posteriormente a la red de configuración del dispositivo y pedir detalles como nombre del dispositivo, cloud_device_id y certificado, y utilícelos para vincular su cuenta al dispositivo.
Independientemente de la secuencia de ataque empleada, un proceso de enlace exitoso permite al adversario aprovechar Rutinas de Google Home para bajar el volumen a cero y llamar a un número de teléfono específico en cualquier momento para espiar a la víctima a través del micrófono del dispositivo.
«Lo único que la víctima puede notar es que los LED del dispositivo se vuelven azules fijos, pero probablemente supongan que está actualizando el firmware o algo así», dijo Matt. «Durante una llamada, los LED no parpadean como lo hacen normalmente cuando el dispositivo está escuchando, por lo que no hay indicación de que el micrófono esté abierto».
Además, el ataque puede extenderse para realizar solicitudes HTTP arbitrarias dentro de la red de la víctima e incluso leer archivos o introducir modificaciones maliciosas en el dispositivo vinculado que se aplicarían después de un reinicio.
Esta no es la primera vez que se diseñan métodos de ataque de este tipo para husmear de forma encubierta en objetivos potenciales a través de dispositivos activados por voz.
En noviembre de 2019, un grupo de académicos reveló una técnica llamada Light Commands, que se refiere a una vulnerabilidad de los micrófonos MEMS que permite a los atacantes inyectar de forma remota comandos inaudibles e invisibles en asistentes de voz populares como Google Assistant, Amazon Alexa, Facebook Portal y Apple Siri. usando luz