Τετάρτη, 08 Φεβ, 2023
Ο αντιπρόεδρος της Google Mario Queiroz παρουσιάζει τη νέα συσκευή Google Home κατά τη διάρκεια της κεντρικής ομιλίας του συνεδρίου Google I/O στο Mountain View της Καλιφόρνια, στις 18 Μαΐου 2016. (AP Photo/Eric Risberg, File)

Κενό ασφαλείας στα ηχεία Google Home επιτρέπει σε χάκερ να παρακολουθούν ιδιωτικές συνομιλίες

Πρόσφατα αποκαλύφθηκε ότι ένα κενό ασφαλείας στα ηχεία Google Home επέτρεπε σε χάκερ να παρακολουθούν συνομιλίες.

Ένα σφάλμα επέτρεψε στους χάκερς να εγκαταστήσουν έναν λογαριασμό σε μια συσκευή έξυπνου ηχείου Google Home και να τη χρησιμοποιήσουν μέσω τηλεχειρισμού για να κρυφακούσουν ανυποψίαστους ιδιοκτήτες, αποκτώντας πρόσβαση στην τροφοδοσία του μικροφώνου της, ανέφερε το Bleeping Computer.

Ο ερευνητής ασφαλείας Ματ Κούνζε ανταμείφθηκε πρόσφατα με συνολικά 107.500 δολάρια από τη Google για την ανακάλυψη του προβλήματος ασφαλείας τον Ιανουάριο του 2021, ενώ πειραματιζόταν με το δικό του μίνι ηχείο Google Home.

Ο Κούνζε ενημέρωσε την Google τον Μάρτιο του 2021 και αργότερα δημοσίευσε τις τεχνικές λεπτομέρειες σχετικά με τα ευρήματά του, μαζί με ένα πιθανό σενάριο επίθεσης, το οποίο εξηγούσε πώς το ελάττωμα θα μπορούσε να αξιοποιηθεί από έναν εξωτερικό παράγοντα.

Ανακάλυψε ένα ελάττωμα που επέτρεπε την απομακρυσμένη εκτέλεση εντολών μέσω της διεπαφής προγραμματισμού εφαρμογών (cloud API) μετά τη δημιουργία ενός νέου λογαριασμού μέσω της εφαρμογής Google Home.

Το Google Home, μια σειρά έξυπνων ηχείων, κυκλοφόρησε το 2016 με μεγάλη επιτυχία και επέτρεψε στους χρήστες να δίνουν προφορικά φωνητικές εντολές για να αλληλεπιδρούν με υπηρεσίες μέσω του Google Assistant.

Σοβαρό κενό επέτρεψε σε χάκερς να αποκτήσουν πρόσβαση σε έξυπνες συσκευές και ηχεία

Ο Κούνζε σημείωσε ότι αν ένας χάκερ έφτανε σε ασύρματη προσέγγιση με μια συσκευή ηχείων, ακόμη και χωρίς πρόσβαση στο δίκτυο Wi-Fi στο οποίο ήταν συνδεδεμένο, θα μπορούσε να ανακαλύψει το σύστημα Google Home ενός χρήστη.

Αφού δημιουργηθεί ένας λογαριασμός χρήστη, ένας δράστης θα μπορούσε στη συνέχεια να αποκτήσει πρόσβαση στη λειτουργία εγκατάστασης του χρήστη, να εγκαταστήσει έναν διαφορετικό λογαριασμό Google και στη συνέχεια να τον συνδέσει εκ νέου στο δίκτυο Wi-Fi του ανυποψίαστου ατόμου.

Μόλις ένας χάκερ κατάφερνε να συνδέσει το δικό του λογαριασμό στο ηχείο Google Home, θα είχε πρόσβαση στις έξυπνες συσκευές στο σπίτι του θύματος, ξεκινώντας μια τηλεφωνική κλήση μέσω του ηχείου, δίνοντάς του τη δυνατότητα να υποκλέψει συσκευές, να ρυθμίσει προγραμματισμένες ρουτίνες και να αναπαράγει μουσική.

Εν τω μεταξύ, πολλοί χρήστες δεν γνώριζαν την ειδοποίηση μπλε φωτός του έξυπνου ηχείου που ανάβει όταν ενεργοποιείται ένα τηλέφωνο, υποθέτοντας ότι το ηχείο ενημερώνεται ή είναι απασχολημένο.

Η ενημέρωση της Google αντιμετωπίζει το κενό ασφαλείας

Έκτοτε, η Google απέτρεψε τη δυνατότητα απομακρυσμένης προσθήκης λογαριασμού σε ένα ηχείο Google Home με ένα λογισμικό επιδιόρθωσης που περιλάμβανε ένα νέο σύστημα που βασίζεται σε προσκλήσεις για τη διαχείριση των συνδέσεων λογαριασμών, εμποδίζοντας κάθε προσπάθεια από άτομα που δεν έχουν προστεθεί στο Home.

Η ασφάλεια των τηλεφωνικών κλήσεων διορθώθηκε επίσης επίσης, με πρόσθετη προστασία για την αποτροπή απομακρυσμένης έναρξης μέσω του συστήματος προγραμματισμένης ρουτίνας.

Οι έξυπνες οθόνες της Google διαθέτουν πλέον ένα βελτιωμένο δίκτυο εγκατάστασης που απαιτεί έναν κωδικό QR για τη σύνδεση, επιτρέποντας την προστασία με WPA2, πράγμα που σημαίνει ότι ένας χάκερ θα χρειαζόταν φυσική πρόσβαση σε μια συσκευή για να συνδέσει το λογαριασμό του.

Ο Κούνζε δήλωσε ότι οι συσκευές Google Nest και Home ήταν, ως επί το πλείστον, μάλλον ασφαλείς και δεν προσέφεραν πολλούς φορείς επίθεσης και ότι τα τρωτά σημεία που ανακάλυψε ήταν αρκετά ανεπαίσθητα.

Εκτός από το απόρρητο των τηλεφωνικών κλήσεων, είπε ότι το περισσότερο που θα μπορούσε να κάνει ένας εισβολέας ήταν να αλλάξει κάποιες βασικές ρυθμίσεις του χρήστη.

Η Epoch Times επικοινώνησε με την Google για σχόλια.

Πως μπορείτε να μας βοηθήσετε ώστε να συνεχίσουμε να σας κρατάμε ενημερωμένους

Ποιος είναι ο λόγος που χρειαζόμαστε την βοήθειά σας για την χρηματοδότηση του ερευνητικού ρεπορτάζ μας; Επειδή είμαστε ένας ανεξάρτητος οργανισμός ειδήσεων που δεν επηρεάζεται από καμία κυβέρνηση, εταιρεία ή πολιτικό κόμμα. Από την ημέρα που ξεκινήσαμε, έχουμε έρθει αντιμέτωποι με προσπάθειες αποσιώπησης της αλήθειας κυρίως από το Κινεζικό Κομμουνιστικό Κόμμα. Αλλά δεν θα λυγίσουμε. Η ελληνική έκδοση της Epoch Times βασίζεται ολοκληρωτικά στις γενναιόδωρες συνεισφορές σας για να διατηρήσει την παραδοσιακή δημοσιογραφία ζωντανή και υγιή στην Ελληνική γλώσσα. Μαζί, μπορούμε να συνεχίσουμε να διαδίδουμε την αλήθεια.

ΣΧΕΤΙΚΑ

Σχολιάστε