Исследователь безопасности обнаружил ошибку в Google Home, возможно подслушивание — звук и изображение — новости

Недостаток безопасности в экосистеме Google Home позволил создать бэкдор для подслушивания пользователей. С тех пор проблема была устранена Google, и соответствующий исследователь безопасности получил компенсацию за ее обнаружение.

Исследователь безопасности Мэтт Кунц обнаружил, что с уже добавленной учетной записью он может заставить свой Google Home Mini выполнять команды, включая включение микрофона путем подключения к умному динамику. в сообщении в блоге Показывает, что злоумышленник с помощью атаки деавторизации Wi-Fi смог отключить продукт Google Home от локальной сети. Для этого злоумышленник должен находиться в непосредственной близости от сети Wi-Fi; Таким же образом можно получить такую ​​информацию, как имя устройства, сертификат и идентификатор облака.

Как только злоумышленник получит эту информацию, он может запустить процесс установки умной колонки через Интернет, используя программное обеспечение, написанное специально для этой цели. Таким образом, Кунце смог связать новую учетную запись Google со смарт-динамиком. Помимо управления подключенными устройствами, злоумышленник также может «молча» набрать, например, свой номер. Таким образом, в этом случае исследователь безопасности смог слушать через свой Google Home Mini. Во время разговора на спикерфоне загорается синий индикатор, который отличается от мигающего белого индикатора, который обычно загорается, когда микрофон активен.

Кунс обнаружил его в начале 2021 года и почти сразу же сообщил об этом в Google. Несколько месяцев спустя технологическая компания придумала решение и наградила исследователя в области безопасности в общей сложности более 100 000 долларов. Поначалу отдача была ниже, но через год после инцидента Google увеличил вознаграждение за поиск багов в устройствах Google Nest и FitBit, после чего Кунце получил дополнительное вознаграждение.