چه چیزی میخواهید بدانید
- محقق مت کانز کشف کرد که هکرها می توانستند از طریق بلندگوهای هوشمند گوگل از افراد در خانه هایشان جاسوسی کنند.
- در صورت دسترسی، یک حساب «سرکش» میتواند به مکالمات شما گوش دهد، دستگاههای شما را کنترل کند و خریدهای آنلاین انجام دهد.
- این مشکل در ژانویه 2021 گزارش شد و گوگل آنها را تا آوریل همان سال برطرف کرد.
یک مشکل حیاتی در بلندگوی Google Home به گوشها اجازه میداد بدون اطلاع کاربران به خانههای آنها نفوذ کنند.
محقق مت کانزه کشف شده مشکلات در ژانویه 2021 پس از آزمایش با Nest Mini (از طریق بلیپ کامپیوتر). مشخص شد که یک حساب “سرکش” جدید می تواند از طریق برنامه Home اضافه شود و به هکر اجازه می دهد دستگاه را از راه دور از طریق API ابری کنترل کند.
Kunze دریافت که برای انجام این کار، هکر به نام دستگاه، گواهینامه و “شناسه ابری” از API محلی نیاز دارد. با در دست داشتن تمام این موارد، یک هکر می تواند یک درخواست پیوند برای دستگاه از طریق سرور Google ارسال کند. پس از ورود به دستگاه به عنوان یک کاربر سرکش، Kunze چندین سناریو را کشف کرد که ممکن است در صورت انجام این کار توسط یک هکر با دستگاه شخص ناشناس در خانه رخ دهد.
سناریوهای یافت شده توسط محقق Kunze شامل توانایی هکر برای جاسوسی بینظیر از مردم است، اما آنها همچنین میتوانند درخواستهای HTTP را در شبکه شما انجام دهند یا حتی فایلها را بر روی دستگاه بخوانند/نوشتن کنند.
اگر این به اندازه کافی ناراحت کننده نبود، یک هکر می تواند فرمان تماس بلندگوی هوشمند را از راه دور فعال کند و دستگاه شما را قادر می سازد در هر لحظه با تلفن خود تماس گرفته و به مکالماتی که در خانه شما انجام می شود گوش دهد. در ویدیوی نمایشی Kunze، چهار چراغ Nest Mini به رنگ آبی میدرخشند که نشان میدهد تماسی در حال انجام است. با این حال، هرکسی که به سادگی از خانه خود عبور می کند ممکن است به این موضوع توجه نکند یا ممکن است این را به تماس در یک مکان نسبت ندهد.
علاوه بر این، هکر توانایی کنترل سوئیچ های خانه هوشمند شما، انجام تراکنش های آنلاین، باز کردن قفل درهای خانه و خودرو و حتی استفاده از پین مورد استفاده برای قفل های هوشمند را به دست می آورد.
Kunze در طول تجزیه و تحلیل خود در مورد اینکه چگونه این آسیب پذیری ناامیدکننده را پیدا کرده است، اظهار داشت که اگر آخرین سیستم عامل را اجرا کنید، هیچ یک از این موارد ممکن نیست. این به این دلیل است که وقتی آنها این موضوع را در سال 2021 به گوگل گزارش کردند، این شرکت در آوریل همان سال مشکلات را اصلاح کرد. محقق همچنین 107500 دلار به عنوان غرامت برای یافتن نقص مهم و گزارش دقیق آن دریافت کرد.
محقق اظهار داشت که اصلاحات گوگل شامل دعوت به “خانه” است که دستگاه در آن ثبت شده است تا آن را به حساب شما پیوند دهد. همچنین، گوگل قابلیت فعال کردن فرمان تماس از راه دور را از طریق یک روال غیرفعال کرد. برای تقویت بیشتر امنیت شما، دستگاههای خانه هوشمند Google با نمایشگر، مانند Nest Hub Max، با رمز عبور WPA2 محافظت میشوند که از طریق یک کد QR روی نمایشگر نشان داده میشود.
منبع: https://www.androidcentral.com/accessories/smart-home/google-speaker-spy-vulnerability-found-patched