Истраживач хакује Гоогле паметни звучник и претвара га у прислушкивач и још горе

Приватност И Безбедност

Објави:

Истраживач је пронашао начин да хакује Гоогле-ов паметни звучник и претвори га у прислушкивач. Ово је озбиљна безбедносна грешка која може омогућити некоме да прислушкује разговоре или чак контролише говорника.



Раније ове недеље, истраживач/програмер/етички хакер Матт Кунзе објавио је пост на блогу са детаљима о озбиљној рањивости Гоогле паметних кућних звучника која би хакерима могла дати даљинску контролу над уређајима. У свом посту на блогу, Мет детаљно описује како је рањивост откривена, а затим у застрашујућим детаљима објашњава како тачно овај бацкдоор може да се користи за приступ широком спектру команди и радњи помоћу погођеног Гоогле звучника.

Потенцијал за напад је проистекао из рањивости која би некоме могла омогућити да се дода у апликацију Гоогле Хоме. Одатле, хакер би имао могућност да контролише уређаје повезане са налогом. Једном када се повеже, нападач може да користи гласовне команде да активира микрофон на датом уређају. Можете замислити колики би хаос могао настати од тог тренутка. Потенцијално, уређај би се тада могао користити за било шта што је Гоогле звучник био способан јер се односи на све друге повезане уређаје у кући. Ево неколико примера потенцијалних радњи:

  • Контролишите паметне кућне прекидаче
  • Отворите паметна гаражна врата
  • Купујте на мрежи
  • Даљинско откључавање и покретање одређених возила
  • Отворите паметне браве тако што ћете потајно наметнути ПИН број корисника

Мет је скренуо пажњу на још једну потенцијалну акцију коју би нападачи могли покренути када добију приступ апликацији Хоме. Телефонски позиви. Подешавањем рутине повезане са одређеним уређајем, Мет је могао да покрене свој Гоогле Хоме Мини да позове свој телефон у одређено време на основу рутине. У видеу испод можете видети рутину у акцији. Веома кул и веома застрашујуће у исто време.

С обзиром на чињеницу да је хак нападачу омогућио приступ микрофону уређаја, Мет је изложио потенцијални сценарио у којем би нападач могао да користи Гоогле паметни звучник да шпијунира домаћинство. У суштини, омогућавајући нападачу невезани приступ да слуша са звучника у било ком тренутку. Као истакао је у свом блог посту , овај хак не би захтевао од нападача да има ви-фи акредитиве за приступ уређају.

  1. Жртва инсталира злонамерну Андроид апликацију нападача.
  2. Апликација открива Гоогле Хоме на мрежи преко мДНС-а.
  3. Апликација користи основни ЛАН приступ који му је аутоматски одобрен за тихо издавање два ХТТП захтева неопходна за повезивање налога нападача са уређајем жртве (нису потребне посебне дозволе).

Мет даље објашњава, у дубини, различите начине на које би хакер могао да спроведе вишеструке злобне нападе користећи овај бацкдоор у апликацији Хоме. Срећом, прича има срећан крај.

Добре вести

Пошто је господин Кунзе етички хакер, ова рањивост је пријављена Гоогле-у пре неколико месеци и закрпа је објављена много пре него што је слабост објављена у јавности. Према временској линији, рањивост је пријављена у јануару 2021., а поправка је примењена у априлу исте године. Недуго након тога, Мет је награђен за своје напоре са огромних 107.500 долара награде за грешке за свој рад на идентификовању ове слабости. То значи да не морате да бринете да ће се ова врста напада десити јер је искочила из колосека пре него што је изашла у дивљину. Можете прочитати комплетан, детаљан извештај на Маттовом новом блогу овде .

Подели Са Пријатељима :