A automação residencial está cada vez mais difundida e é muito comum ter dispositivos que podemos controlar por voz ou pelo celular. No entanto, às vezes podemos encontrar vulnerabilidades e problemas que afetam segurança ou privacidade . Neste artigo, repetimos um problema com Alto-falantes do Google Home que permitiu que os hackers ouvissem todas as conversas. Um invasor externo pode controlar o dispositivo remotamente.
Falha de segurança nos alto-falantes do Google Home
Especificamente, é um bug nos alto-falantes do Google Home que permitia a um invasor instalar uma porta dos fundos que poderia ser usada para espionagem. Eles poderiam controlar remotamente o dispositivo e acessar o microfone. Eles poderiam ouvir conversas e, logicamente, comprometer a privacidade da vítima.
Mas como você detectou esse problema? Foi através de um programa de recompensas detectar vulnerabilidades e o Google ofereceu uma quantia financeira por isso. Segurança o pesquisador Matt Kunze foi quem fez a descoberta e posteriormente publicou os detalhes técnicos e como eles poderiam explorar o problema.
Este pesquisador de segurança começou a experimentar um alto-falante do Google Home. Descobriu que novas contas adicionadas por meio do aplicativo Google Home pode enviar comandos remotamente por meio da API da nuvem. Foi capaz de capturar o tráfego. Eu poderia enviar uma solicitação de link para o servidor do Google e iniciar o link.
On GitHub ele carregou o relatório completo sobre como conseguiu explorar esse bug. Lá ele mostra como é possível espionar uma vítima pela internet usando um alto-falante do Google Home.
O que eles podem fazer por meio do alto-falante do Google Home
Ter um conta não autorizada vinculado a um alto-falante do Google Home pode ser um grande problema. Isso capacita um invasor a controlar plugues inteligentes, fazer compras online ou até mesmo acessar bloqueios inteligentes que possam estar vinculados.
A tudo isto devemos acrescentar a possibilidade de ativando o microfone em um determinado momento. Eles fazem isso sendo capazes de fazer uma chamada para um telefone controlado pelo invasor. Basicamente, o que ele faz é ouvir aquela ligação, ouvir tudo o que está sendo dito do outro lado da linha, no alto-falante do Google Home. Uma forma de espionar a vítima.
Mas a vítima não notaria nada se estivesse ouvindo? A única coisa que você veria é o LED azul luz iluminada. Isso indicaria que uma chamada está em andamento, mas pode ser confundida com uma atualização de firmware.
Um invasor pode até reproduzir áudio nesse alto-falante. Também pode forçar o emparelhamento com outros dispositivos, sejam eles Bluetooth ou Wi-Fi, além de esquecer as redes sem fio vinculadas.
Como você pode evitar ser espionado assim se tiver um alto-falante do Google Home? A solução é muito simples: certifique-se de ter o firmware atualizado. Não surpreendentemente, uma vez que o pesquisador de segurança informou o Google, eles começaram a trabalhar e lançar patches para corrigir o problema. Se você tiver as versões mais recentes, não deve temer essa vulnerabilidade.
