No importa qué excelente altavoz inteligente elija para su hogar, la premisa es siempre la misma: debe confiar en la compañía que lo respalda con sus grabaciones de voz y otros sonidos periféricos de su hogar. Pero cada vez que hay computadoras involucradas, existen vulnerabilidades que pueden explotarse. Este también es el caso de los altavoces inteligentes de Google Home. Un investigador descubrió una forma de espiar los parlantes inteligentes de Google en las proximidades.
El investigador de seguridad Matt Kunze notó que configurar un altavoz de Google Home con una cuenta de Google era bastante fácil, al tiempo que brindaba un montón de herramientas poderosas al propietario de la cuenta (a través de Bleeping Computer ). Una vez que se configura una cuenta, es posible controlar dispositivos domésticos inteligentes, crear e iniciar rutinas e incluso hacer llamadas telefónicas.
Kunze estaba interesado en ver si era fácil conectar una nueva cuenta de Google a un altavoz de Google Home. Con la proximidad física al altavoz, resultó ser una tarea fácil, incluso sin acceso a la red Wi-Fi a la que está conectado el altavoz. Se hace colocando de forma remota Google Home en su modo de configuración y luego inyectando una cuenta de Google diferente y luego volviendo a conectarla a la red Wi-Fi de la víctima.
Una vez que un pirata informático logra conectar su cuenta al altavoz de Google Home, obtiene acceso a los dispositivos inteligentes en el hogar de la víctima. El mal actor podría operar interruptores, reproducir música, encender y apagar electrodomésticos y más. Un pirata informático también puede iniciar una llamada telefónica a través del altavoz doméstico inteligente, lo que permite grabar todo lo que sucede en el hogar de la víctima. Durante una llamada telefónica, las luces del altavoz inteligente se vuelven azules, pero si la víctima es alguien que no usa esta función o no está bien versado en las opciones de Google Home, es posible que suponga que el altavoz se está actualizando o está ocupado.
Kunze reveló el problema a Google en marzo de 2021 después de descubrirlo por primera vez en enero de 2021. Desde entonces, Google pagó un poco más de $ 100,000 por el informe y solucionó el problema. Ya no es posible agregar una cuenta a un altavoz de Google Home de forma remota, incluso si todavía es posible activar de forma remota el modo de configuración. Las llamadas telefónicas como se hacen en el video ya no son posibles, ya que ya no puedes hacerlas parte de las rutinas.
Mientras tanto, las excelentes pantallas inteligentes de Google ofrecen una configuración más protegida gracias a su capacidad para mostrar un código QR cuando las configura. De esa manera, su red de configuración puede protegerse con WPA2, lo que significa que un atacante necesitaría acceso físico al dispositivo para conectar su cuenta a él.
A pesar del hackeo, el investigador de seguridad afirma que los dispositivos Nest y Home son extraordinariamente seguros en su mayor parte y no ofrecen muchos vectores de ataque. Dice que las vulnerabilidades que descubrió eran bastante sutiles y que, por lo general, lo máximo que un atacante podría hacer es cambiar algunas configuraciones básicas.
Fuente: https://www.androidpolice.com/
No olvides Compartir... Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios