Lỗ hổng nghiêm trọng này trong Google Home cho phép mọi người lắng nghe bạn

Tự động hóa gia đình đang trở nên phổ biến hơn và việc có các thiết bị mà chúng ta có thể điều khiển bằng giọng nói hoặc qua điện thoại di động là rất phổ biến. Tuy nhiên, đôi khi chúng ta có thể tìm thấy các lỗ hổng và các vấn đề ảnh hưởng đến bảo mật hoặc quyền riêng tư . Trong bài viết này, chúng tôi lặp lại một vấn đề với Loa Google Home đã cho phép tin tặc nghe tất cả các cuộc hội thoại. Kẻ tấn công bên ngoài có thể điều khiển thiết bị từ xa.

Lỗ hổng bảo mật trong loa Google Home

Lỗ hổng nghiêm trọng này trong Google Home cho phép mọi người lắng nghe bạn

Cụ thể, nó là một lỗi trong loa Google Home cho phép kẻ tấn công cài đặt một cửa sau có thể được sử dụng để nghe lén. Họ có thể điều khiển thiết bị từ xa và truy cập micrô. Họ có thể nghe các cuộc trò chuyện và, về mặt logic, xâm phạm quyền riêng tư của nạn nhân.

Nhưng làm thế nào bạn đã phát hiện ra vấn đề này? Đó là thông qua một chương trình tiền thưởng để phát hiện lỗ hổng và Google đã cung cấp một khoản tài chính cho nó. Bảo mật nhà nghiên cứu Matt Kunze là người đưa ra khám phá và sau đó đã công bố các chi tiết kỹ thuật và cách họ có thể khai thác vấn đề.

Nhà nghiên cứu bảo mật này đã bắt đầu thử nghiệm với loa Google Home. Nó phát hiện ra rằng tài khoản mới được thêm vào thông qua ứng dụng Google Home có thể gửi lệnh từ xa thông qua API đám mây. Nó đã có thể nắm bắt lưu lượng truy cập. Tôi có thể gửi yêu cầu liên kết đến máy chủ Google và có thể bắt đầu liên kết.

On GitHub anh ấy đã tải lên báo cáo đầy đủ về cách anh ấy quản lý để khai thác lỗi này. Ở đó, anh ấy chỉ ra cách có thể theo dõi nạn nhân qua Internet bằng loa Google Home.

Họ có thể làm gì thông qua loa Google Home

Có một tài khoản trái phép được liên kết với loa Google Home có thể là một vấn đề lớn. Điều đó trao quyền cho kẻ tấn công kiểm soát phích cắm thông minh, mua hàng trực tuyến hoặc thậm chí truy cập vào khóa thông minh có thể được liên kết.

Đối với tất cả điều này, chúng ta phải thêm khả năng kích hoạt micrô một thời gian chắc chắn. Họ làm điều này bằng cách có thể thực hiện cuộc gọi đến điện thoại do kẻ tấn công điều khiển. Về cơ bản, những gì nó làm là nghe cuộc gọi đó, nghe mọi thứ đang được nói ở đầu bên kia, trên micrô của loa Google Home. Một cách để theo dõi nạn nhân.

Nhưng liệu nạn nhân có nhận thấy bất cứ điều gì nếu họ đang lắng nghe không? Điều duy nhất bạn sẽ thấy là đèn LED xanh lam ánh sáng chiếu rọi. Điều đó cho biết một cuộc gọi đang diễn ra, nhưng có thể bị nhầm với bản cập nhật chương trình cơ sở.

Kẻ tấn công thậm chí có thể phát âm thanh trên loa đó. Nó cũng có thể buộc ghép nối với các thiết bị khác, có thể là Bluetooth hoặc Wi-Fi, cũng như quên đi các mạng không dây được liên kết.

Làm thế nào bạn có thể tránh bị theo dõi như thế này nếu bạn có loa Google Home? Giải pháp rất đơn giản: đảm bảo bạn đã cập nhật chương trình cơ sở. Không có gì đáng ngạc nhiên, khi nhà nghiên cứu bảo mật thông báo cho Google, họ đã làm việc và phát hành các bản vá để khắc phục sự cố. Nếu bạn có các phiên bản mới nhất, bạn không nên sợ lỗ hổng này.