Ataskaita: Išmaniosios „Google Home” garso kolonėlės leido įsilaužėliams šnipinėti naudotojus
foto: Hip2Save
Naujausioje ataskaitoje teigiama, kad dėl „Google Home” išmaniųjų garso kolonėlių klaidos buvo galima įdiegti „užpakalinių durų” paskyrą, kuria buvo galima valdyti įrenginį ir gauti prieigą prie jo mikrofono kanalo. Trumpai tariant, įsilaužėliai galėjo perimti „Google” įrenginius ir šnipinėti naudotojus klausydamiesi jų pokalbių, praneša „Breitbart”.
„Bleeping Computer” praneša, kad „Google Home” išmaniųjų garsiakalbių pažeidžiamumas leido sukurti užpakalinių durų paskyrą, kuri galėjo būti naudojama nuotoliniu būdu valdyti įrenginį ir gauti prieigą prie jo mikrofono kanalo, todėl įrenginys galėjo tapti šnipinėjimo priemone.
Šią spragą aptiko tyrėjas Mattas Kunze, kuris už tai, kad praėjusiais metais apie ją atsakingai pranešė „Google”, gavo 107 500 JAV dolerių atlygį. Praėjusios savaitės pabaigoje Kunze paskelbė techninę informaciją ir atakos scenarijų, iliustruojantį šią klaidą.
Eksperimentuodamas su „Google Home Mini” garsiakalbiu Kunze nustatė, kad naujos paskyros, sukurtos naudojant „Google Home” programėlę, gali nuotoliniu būdu siųsti komandas įrenginiui per debesies API. Norėdamas užfiksuoti užšifruotą HTTPS srautą ir galimai gauti naudotojo autorizavimo žetoną, tyrėjas, naudodamasis „Nmap” skenavimo programa, nustatė „Google Home” vietinės HTTP API prievadą ir sukūrė tarpinį serverį.
Tyrėjas svetainėje „GitHub” paskelbė tris koncepcijos įrodymo scenarijus, kuriuose demonstruojami įsilaužimo veiksmai. Tačiau šie skriptai neturėtų būti veiksmingi „Google Home” įrenginiuose, kuriuose įdiegta naujausia programinės įrangos versija, tačiau veiks senosiose versijose.
Koncepcijos įrodymai neapsiriboja paprastu neįgalioto naudotojo pridėjimu ir taip pat leidžia šnipinėti per mikrofoną, atlikti savavališkas HTTP užklausas aukos tinkle ir skaityti / įrašyti savavališkus failus įrenginyje.
→ PAREMTI infa.lt → Naujienlaiškis
34
Leidžiama ...
