Ошибка в умных колонках Google Home позволяла злоумышленникам установить бэкдор-аккаунт, который можно было использовать для удалённого управления и превращения её в устройство для слежения за доступом к каналу микрофона.
![](https://habrastorage.org/getpro/habr/upload_files/d1c/d6b/9d6/d1cd6b9d637b350c2feb15a3b1b6f245.jpg)
Исследователь, который обнаружил проблему, уже получил от Google $107,5 тысяч в прошлом году. Ранее на этой неделе он опубликовал технические подробности о баге и сценарии атаки, чтобы показать, как можно использовать уязвимость.
Экспериментируя со своим собственным динамиком Google Home, исследователь обнаружил, что новые учётные записи, добавленные с помощью приложения Google Home, могут отправлять ему команды удалённо через облачный API. Используя сканирование Nmap, он нашёл порт для локального HTTP API Google и настроил прокси-сервер для захвата зашифрованного HTTPS-трафика.
![](https://habrastorage.org/getpro/habr/upload_files/d12/088/1d1/d120881d1afb7709a2f0ab4882461d2a.jpg)
Исследователь обнаружил, что добавление нового пользователя на целевое устройство — это двухэтапный процесс, требующий данных об имени устройства, сертификате и «облачном идентификаторе» из локального API. С помощью этой информации можно отправить запрос на ссылку на сервер Google.
![](https://habrastorage.org/getpro/habr/upload_files/2f7/40e/754/2f740e75486141adae02b52478162da0.jpg)
Чтобы добавить бэкдор-аккаунт на целевое устройство Google Home, аналитик реализовал процесс связывания в скрипте Python, который автоматизировал эксфильтрацию данных локального устройства и воспроизвел запрос. Он опубликовал на GitHub три PoC для действий, описанных выше. Однако они уже не работают на Google Home с последней версией прошивки.
Наличие мошеннической учётной записи, связанной с целевым устройством, позволяет выполнять действия через динамик Google Home, такие как управление интеллектуальными переключателями, совершение онлайн-покупок, удалённое отпирание дверей и транспортных средств, а также подбор ПИН-кода пользователя для интеллектуальных замков.
![](https://habrastorage.org/getpro/habr/upload_files/0b6/714/ea0/0b6714ea0187053609edff451a3dd8be.jpg)
Исследователь нашел способ злоупотребить командой «позвонить на номер телефона», которая отправляла прямую трансляцию с микрофона динамика. При этом световой индикатор устройства горел синим. Пользователь мог думать, что колонка обновляет прошивку, так как стандартный индикатор включения микрофона — пульсирующий свет.
Также можно удалённо воспроизводить мультимедиа на скомпрометированном интеллектуальном динамике, переименовывать его, принудительно перезагружать, заставлять забыть сохраненные сети Wi-Fi, принудительно создавать новые пары Bluetooth или Wi-Fi и многое другое.
Аналитик обнаружил проблемы в январе 2021 года и отправил дополнительные сведения и PoC в марте 2021 года. Google устранил все проблемы в апреле 2021 года.
Патч включает в себя новую систему на основе приглашений для обработки ссылок на учётные записи, которая блокирует любые попытки, не добавленные на главную страницу.
Деаутентификация Google Home по-прежнему возможна, но ее нельзя использовать для привязки новой учётной записи, поэтому локальный API, из-за которого произошла утечка с устройства, также недоступен.
Что касается команды «позвонить», то Google добавила защиту для предотвращения её удалённого запуска с помощью подпрограмм.
Стоит отметить, что Google Home была выпущена в 2016 году, запланированные процедуры были добавлены в 2018 году, а Local Home SDK был представлен в 2020 году, поэтому у злоумышленника, обнаружившего баг до апреля 2021 года, было достаточно времени, чтобы воспользоваться им.
В 2020 году учёные и инженеры из Имперского колледжа Лондона, а также из Университета Восточного Лондона провели исследование, которое показало, что колонки Google Home Mini, Apple Homepod, Harman Kardon Invoke и Amazon Echo Dot случайно активировались без кодового слова при прослушивании развлекательного контента и записывали разговоры пользователей.
ссылка на оригинал статьи https://habr.com/ru/articles/708584/
Добавить комментарий