Algunos altavoces inteligentes de Google Home podrían haber sido secuestrados para controlar el dispositivo de forma remota e incluso escuchar la privacidad de las personas. (se abre en una pestaña nueva) conversaciones, ha afirmado un experto en seguridad.
El error fue descubierto por el investigador de seguridad cibernética Matt Kunze, quien recibió $ 107,500 en recompensas por informar responsablemente a Google.
Kunze, que estaba investigando su propio mini altavoz personal de Google Home en busca de posibles problemas, explicó en una publicación de blog (se abre en una pestaña nueva) cómo encontró una manera de agregar otra cuenta de Google al dispositivo, que sería suficiente para poder espiar a las personas.
Adición de cuentas no autorizadas
Primero, el atacante debe estar dentro de la proximidad inalámbrica del dispositivo y escuchar las direcciones MAC con prefijos asociados con Google.
Después de eso, pueden enviar paquetes de desautorización para desconectar el dispositivo de la red y activar el modo de configuración. En el modo de configuración, solicitan información del dispositivo y usan esa información para vincular su cuenta al dispositivo y ¡listo! – ahora pueden espiar a los propietarios de los dispositivos a través de Internet y pueden alejarse del WiFi.
Pero el riesgo es mayor que “simplemente” escuchar las conversaciones de la gente. Muchos usuarios de altavoces domésticos inteligentes conectan sus dispositivos con otros dispositivos inteligentes, como cerraduras de puertas e interruptores inteligentes. Además, el investigador encontró una manera de abusar del comando «llamar al número de teléfono» y hacer que el dispositivo llame al atacante en un momento específico y transmita audio en vivo.
El error se descubrió a principios de 2021 y se corrigió en abril de 2022. Google abordó el problema creando un nuevo sistema basado en invitaciones para vincular cuentas, bloqueando cualquier cuenta que no se haya agregado en Inicio.
Dicho esto, para asegurarse de que no haya ningún riesgo, se recomienda a los usuarios de Google Home que actualicen el firmware del terminal a la última versión lo antes posible.
Vía: BleepingComputer (se abre en una pestaña nueva)