Πρόσφατα αποκαλύφθηκε ότι ένα κενό ασφαλείας στα ηχεία Google Home επέτρεπε σε χάκερ να παρακολουθούν συνομιλίες.
Ένα σφάλμα επέτρεψε στους χάκερς να εγκαταστήσουν έναν λογαριασμό σε μια συσκευή έξυπνου ηχείου Google Home και να τη χρησιμοποιήσουν μέσω τηλεχειρισμού για να κρυφακούσουν ανυποψίαστους ιδιοκτήτες, αποκτώντας πρόσβαση στην τροφοδοσία του μικροφώνου της, ανέφερε το Bleeping Computer.
Ο ερευνητής ασφαλείας Ματ Κούνζε ανταμείφθηκε πρόσφατα με συνολικά 107.500 δολάρια από τη Google για την ανακάλυψη του προβλήματος ασφαλείας τον Ιανουάριο του 2021, ενώ πειραματιζόταν με το δικό του μίνι ηχείο Google Home.
Ο Κούνζε ενημέρωσε την Google τον Μάρτιο του 2021 και αργότερα δημοσίευσε τις τεχνικές λεπτομέρειες σχετικά με τα ευρήματά του, μαζί με ένα πιθανό σενάριο επίθεσης, το οποίο εξηγούσε πώς το ελάττωμα θα μπορούσε να αξιοποιηθεί από έναν εξωτερικό παράγοντα.
Ανακάλυψε ένα ελάττωμα που επέτρεπε την απομακρυσμένη εκτέλεση εντολών μέσω της διεπαφής προγραμματισμού εφαρμογών (cloud API) μετά τη δημιουργία ενός νέου λογαριασμού μέσω της εφαρμογής Google Home.
Σοβαρό κενό επέτρεψε σε χάκερς να αποκτήσουν πρόσβαση σε έξυπνες συσκευές και ηχεία
Ο Κούνζε σημείωσε ότι αν ένας χάκερ έφτανε σε ασύρματη προσέγγιση με μια συσκευή ηχείων, ακόμη και χωρίς πρόσβαση στο δίκτυο Wi-Fi στο οποίο ήταν συνδεδεμένο, θα μπορούσε να ανακαλύψει το σύστημα Google Home ενός χρήστη.
Μόλις ένας χάκερ κατάφερνε να συνδέσει το δικό του λογαριασμό στο ηχείο Google Home, θα είχε πρόσβαση στις έξυπνες συσκευές στο σπίτι του θύματος, ξεκινώντας μια τηλεφωνική κλήση μέσω του ηχείου, δίνοντάς του τη δυνατότητα να υποκλέψει συσκευές, να ρυθμίσει προγραμματισμένες ρουτίνες και να αναπαράγει μουσική.
Η ενημέρωση της Google αντιμετωπίζει το κενό ασφαλείας
Έκτοτε, η Google απέτρεψε τη δυνατότητα απομακρυσμένης προσθήκης λογαριασμού σε ένα ηχείο Google Home με ένα λογισμικό επιδιόρθωσης που περιλάμβανε ένα νέο σύστημα που βασίζεται σε προσκλήσεις για τη διαχείριση των συνδέσεων λογαριασμών, εμποδίζοντας κάθε προσπάθεια από άτομα που δεν έχουν προστεθεί στο Home.
Η ασφάλεια των τηλεφωνικών κλήσεων διορθώθηκε επίσης επίσης, με πρόσθετη προστασία για την αποτροπή απομακρυσμένης έναρξης μέσω του συστήματος προγραμματισμένης ρουτίνας.
Οι έξυπνες οθόνες της Google διαθέτουν πλέον ένα βελτιωμένο δίκτυο εγκατάστασης που απαιτεί έναν κωδικό QR για τη σύνδεση, επιτρέποντας την προστασία με WPA2, πράγμα που σημαίνει ότι ένας χάκερ θα χρειαζόταν φυσική πρόσβαση σε μια συσκευή για να συνδέσει το λογαριασμό του.
Ο Κούνζε δήλωσε ότι οι συσκευές Google Nest και Home ήταν, ως επί το πλείστον, μάλλον ασφαλείς και δεν προσέφεραν πολλούς φορείς επίθεσης και ότι τα τρωτά σημεία που ανακάλυψε ήταν αρκετά ανεπαίσθητα.
Εκτός από το απόρρητο των τηλεφωνικών κλήσεων, είπε ότι το περισσότερο που θα μπορούσε να κάνει ένας εισβολέας ήταν να αλλάξει κάποιες βασικές ρυθμίσεις του χρήστη.
primenews.