ВСЛУХ

Программная «дыра» умной колонки Google Home позволяет удаленно подслушивать разговоры пользователя

Программная «дыра» умной колонки Google Home позволяет удаленно подслушивать разговоры пользователя
Исследователь безопасности Мэтт Кунце нашел уязвимость в устройстве Google Home. После получения этой информации, он обратился в Google с информацией о проблеме и получил вознаграждение в размере $107 500.


Многие другие исследователи безопасности уже изучали Google Home до меня, но почему-то кажется, что никто из них не заметил этих, казалось бы, вопиющих проблем. Я предполагаю, что они были в основном сосредоточены на конечных точках, которые раскрывал локальный API, и на том, что злоумышленник мог с ними сделать. Однако эти конечные точки позволяют настраивать только несколько основных параметров устройства и не более того. Хотя проблемы, которые я обнаружил, могут показаться очевидными в ретроспективе, я думаю, что на самом деле они были довольно хитрыми и скрывались на высоком уровне.
Большое спасибо Google за невероятно щедрое вознаграждение!

— Мэтт Кунце.

Как объяснил Мэтт Кунце, проблема заключается в том, что киберпреступник имеет возможность установить свой аккаунт на устройство в пределах зоны беспроводной сети.

Затем хакер может удаленно отправлять колонке команды через Интернет, получить доступ к микрофону и делать произвольные HTTP-запросы в локальной сети жертвы. Злоумышленник потенциально может получить доступ к паролю Wi-Fi жертвы и, следовательно, к другим устройствам в той же сети.

Во время атаки жертва может не догадываться о взломе, поскольку единственным признаком компрометации будет мигание синего светодиода. Кунц полагает, что жертва просто подумает, что устройство обновляется или выполняет другую задачу.

Чтобы избежать таких проблем, пользователям стоит регулярно обновлять программное обеспечение устройства.

Автор:

Мы в Мы в Яндекс Дзен
Кадровый голод в Новой Зеландии утоляют роботамиDDR4 против DDR5: что такое оперативная память DDR5 и стоит ли ее обновлять?

Япония официально запустила самый большой в мире экспериментальный реактор термоядерного синтеза

Япония официально запустила самый большой в мире экспериментальный реактор термоядерного синтеза

Синтез может генерировать в четыре раза больше энергии на килограмм топлива, чем деление (используемое в ядерных электростанциях) и почти в четыре миллиона раз...
  • 1 942