Un investigador de seguridad recibi\u00f3 una recompensa por errores de $107,500 por identificar problemas de seguridad en los parlantes inteligentes de Google Home que podr\u00edan explotarse para instalar puertas traseras y convertirlas en dispositivos de escuchas telef\u00f3nicas.<\/p>\n
Las fallas “permitieron que un atacante dentro de la proximidad inal\u00e1mbrica instalara una cuenta de ‘puerta trasera’ en el dispositivo, lo que les permit\u00eda enviarle comandos de forma remota a trav\u00e9s de Internet, acceder a la alimentaci\u00f3n de su micr\u00f3fono y realizar solicitudes HTTP arbitrarias dentro de la LAN de la v\u00edctima”, dijo el investigador. , que se hace llamar Matt, revelado<\/a> en un art\u00edculo t\u00e9cnico publicado esta semana.<\/p>\n Al realizar tales solicitudes maliciosas, no solo podr\u00eda quedar expuesta la contrase\u00f1a de Wi-Fi, sino que tambi\u00e9n proporcionar\u00eda al adversario acceso directo a otros dispositivos conectados a la misma red. Luego de la divulgaci\u00f3n responsable el 8 de enero de 2021, Google solucion\u00f3 los problemas en abril de 2021.<\/p>\n El problema, en pocas palabras, tiene que ver con c\u00f3mo se puede aprovechar la arquitectura del software Google Home para agregar una cuenta de usuario de Google no autorizada al dispositivo de automatizaci\u00f3n del hogar de un objetivo.<\/p>\n En una cadena de ataque detallada por el investigador, un actor de amenazas que busca espiar a una v\u00edctima puede enga\u00f1ar a la persona para que instale una aplicaci\u00f3n de Android maliciosa que, al detectar un dispositivo Google Home en la red, emite solicitudes HTTP sigilosas para vincular la cuenta de un atacante. al dispositivo de la v\u00edctima.<\/p>\n Llevando las cosas un poco m\u00e1s arriba, tambi\u00e9n surgi\u00f3 que, al organizar una Ataque de desautenticaci\u00f3n Wi-Fi<\/a> forzar a un dispositivo Google Home a desconectarse de la red<\/a>se puede hacer que el dispositivo entre en un “modo de configuraci\u00f3n” y cree su propia red Wi-Fi abierta.<\/p>\n El actor de amenazas puede conectarse posteriormente a la red de configuraci\u00f3n del dispositivo y pedir detalles<\/a> como nombre del dispositivo, cloud_device_id y certificado, y util\u00edcelos para vincular su cuenta al dispositivo.<\/p>\n Independientemente de la secuencia de ataque empleada, un proceso de enlace exitoso permite al adversario aprovechar Rutinas de Google Home<\/a> para bajar el volumen a cero y llamar a un n\u00famero de tel\u00e9fono espec\u00edfico<\/a> en cualquier momento para espiar a la v\u00edctima a trav\u00e9s del micr\u00f3fono del dispositivo.<\/p>\n “Lo \u00fanico que la v\u00edctima puede notar es que los LED del dispositivo se vuelven azules fijos, pero probablemente supongan que est\u00e1 actualizando el firmware o algo as\u00ed”, dijo Matt. “Durante una llamada, los LED no parpadean como lo hacen normalmente cuando el dispositivo est\u00e1 escuchando, por lo que no hay indicaci\u00f3n de que el micr\u00f3fono est\u00e9 abierto”.<\/p>\n Adem\u00e1s, el ataque puede extenderse para realizar solicitudes HTTP arbitrarias dentro de la red de la v\u00edctima e incluso leer archivos o introducir modificaciones maliciosas en el dispositivo vinculado que se aplicar\u00edan despu\u00e9s de un reinicio.<\/p>\n Esta no es la primera vez que se dise\u00f1an m\u00e9todos de ataque de este tipo para husmear de forma encubierta en objetivos potenciales a trav\u00e9s de dispositivos activados por voz.<\/p>\n En noviembre de 2019, un grupo de acad\u00e9micos revel\u00f3 una t\u00e9cnica llamada Light Commands, que se refiere a una vulnerabilidad de los micr\u00f3fonos MEMS que permite a los atacantes inyectar de forma remota comandos inaudibles e invisibles en asistentes de voz populares como Google Assistant, Amazon Alexa, Facebook Portal y Apple Siri. usando luz<\/p>\n <\/p>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEiFnQCqFUEdZwz09FePR3hG7AgLONIkxkHQShYlYG9sMAfmFEby7X_H70pQ-9LE4EGZ23DtteXmqkaRJtbEWD3LgdJDEQS_GzBo6ugwqRwVEo_kbRN9E1kruaJrfiBDjY0e2mRjaHuWU1gkUzsLRVbvt0IMXMhc3P1YIy9M0fvNOrWDRwsyC7dkMcnC1A\/s728-e365-rj\/welcome-728.png\")
<\/a><\/center><\/div>\n![\"Altavoces](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1672399957_661_Un-investigador-descubre-posibles-errores-de-escuchas-telefonicas-en-los.png\" "\\"Altavoces")
<\/div>\n![\"Altavoces](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1672399957_592_Un-investigador-descubre-posibles-errores-de-escuchas-telefonicas-en-los.png\" "\\"Altavoces")
<\/div>\n