Недостаток в колонке Google Home позволяет злоумышленнику удаленно подслушивать разговоры пользователя. Исследователь безопасности Мэтт Кунце сообщил о проблеме в Google и получил вознаграждение в размере $107 500.
Согласно техническому описанию проблемы, киберпреступник может удаленно установить свой аккаунт на устройство в пределах зоны беспроводной сети. Затем хакер может удаленно отправлять колонке команды через Интернет, получать доступ к микрофону и делать произвольные HTTP-запросы в локальной сети жертвы. Более того, злоумышленник потенциально может получить доступ к паролю Wi-Fi жертвы и получить доступ к другим устройствам в той же сети.
Чтобы прослушивать разговор жертвы, хакер должен заставить пользователя установить вредоносное приложение для Android, которое позволит связать учетную запись киберпреступника с целевым устройством. Атака позволила удаленно изменить громкость устройства, совершить телефонный звонок и подслушать жертву с помощью микрофона в динамике Google Home.
В этой атаке примечательно то, что жертва может даже не подозревать о взломе, поскольку единственным индикатором компрометации будет синий светодиод, который будет загораться во время разговора по телефону. По словам Кунца, жертва, скорее всего, подумает, что устройство обновляется или выполняет другую стандартную задачу.
Согласно техническому описанию проблемы, киберпреступник может удаленно установить свой аккаунт на устройство в пределах зоны беспроводной сети. Затем хакер может удаленно отправлять колонке команды через Интернет, получать доступ к микрофону и делать произвольные HTTP-запросы в локальной сети жертвы. Более того, злоумышленник потенциально может получить доступ к паролю Wi-Fi жертвы и получить доступ к другим устройствам в той же сети.
Чтобы прослушивать разговор жертвы, хакер должен заставить пользователя установить вредоносное приложение для Android, которое позволит связать учетную запись киберпреступника с целевым устройством. Атака позволила удаленно изменить громкость устройства, совершить телефонный звонок и подслушать жертву с помощью микрофона в динамике Google Home.
В этой атаке примечательно то, что жертва может даже не подозревать о взломе, поскольку единственным индикатором компрометации будет синий светодиод, который будет загораться во время разговора по телефону. По словам Кунца, жертва, скорее всего, подумает, что устройство обновляется или выполняет другую стандартную задачу.