Door deze ernstige fout in Google Home kan iedereen naar je luisteren

Domotica wordt steeds wijdverspreider en het is heel gebruikelijk om apparaten te hebben die we met onze stem of via mobiel kunnen bedienen. Soms kunnen we echter kwetsbaarheden en problemen vinden die van invloed zijn beveiliging of privacy . In dit artikel herhalen we een probleem met Google Home-speakers waardoor hackers naar alle gesprekken konden luisteren. Een externe aanvaller kan het apparaat op afstand besturen.

Beveiligingsfout in Google Home-speakers

Door deze ernstige fout in Google Home kan iedereen naar je luisteren

Het is in het bijzonder een bug in de Google Home-speakers waarmee een aanvaller een achterdeur kon installeren die kon worden gebruikt voor afluisteren. Ze konden het apparaat op afstand bedienen en toegang krijgen tot de microfoon. Ze zouden naar gesprekken kunnen luisteren en, logischerwijs, de privacy van het slachtoffer in gevaar brengen.

Maar hoe heb je dit probleem ontdekt? Het was via een bounty-programma kwetsbaarheden detecteren en Google bood er een financieel bedrag voor. Security onderzoeker Matt Kunze was degene die de ontdekking deed en later de technische details publiceerde en hoe ze het probleem konden misbruiken.

Deze beveiligingsonderzoeker begon te experimenteren met een Google Home-speaker. Dat vond het nieuwe accounts toegevoegd via de Google Home-app kunnen opdrachten op afstand worden verzonden via de cloud-API. Het was in staat om het verkeer vast te leggen. Ik zou een koppelingsverzoek naar de Google-server kunnen sturen en de koppeling kunnen starten.

On GitHub hij uploadde het volledige rapport over hoe hij erin slaagde deze bug te misbruiken. Daar laat hij zien hoe het mogelijk is om via internet een slachtoffer te bespioneren met behulp van een Google Home-speaker.

Wat ze kunnen doen via de Google Home-speaker

Een ongeautoriseerde rekening gekoppeld aan een Google Home-luidspreker kan een groot probleem zijn. Dat stelt een aanvaller in staat om slimme stekkers te bedienen, online aankopen te doen of zelfs toegang te krijgen tot slimme sloten die mogelijk zijn gekoppeld.

Aan dit alles moeten we de mogelijkheid toevoegen van activeren van de microfoon op een bepaalde tijd. Ze doen dit door te kunnen bellen naar een telefoon die wordt beheerd door de aanvaller. Wat het eigenlijk doet, is luisteren naar dat gesprek, luisteren naar alles wat er aan de andere kant wordt gezegd, op de Google Home-luidsprekermicrofoon. Een manier om het slachtoffer te bespioneren.

Maar zou het slachtoffer niets merken als ze luisterden? Het enige wat je zou zien is de blauwe LED licht verlicht. Dat zou erop duiden dat er een oproep gaande is, maar dit kan worden aangezien voor een firmware-update.

Een aanvaller kan zelfs audio afspelen op die luidspreker. Het kan ook het koppelen met andere apparaten forceren, of het nu Bluetooth of Wi-Fi is, en gekoppelde draadloze netwerken vergeten.

Hoe kun je voorkomen dat je op deze manier wordt bespioneerd als je een Google Home-speaker hebt? De oplossing is heel eenvoudig: zorg ervoor dat u over de bijgewerkte firmware beschikt. Het is dan ook niet verrassend dat nadat de beveiligingsonderzoeker Google had geïnformeerd, ze aan de slag gingen en patches uitbrachten om het probleem op te lossen. Als u over de nieuwste versies beschikt, hoeft u niet bang te zijn voor deze kwetsbaarheid.