سوء استفاده هکرها از آسیبپذیری امنیتی اسپیکر Google Home
آسیبپذیری امنیتی کشفشده در بلندگوی هوشمند Google Home امکان استراقسمع از راهدور مکالمات کاربران را دراختیار هکرها قرار میدهد.
مشکل امنیتی بسیار مهم در اسپیکر هوشمند گوگل Home به هکرها اجازه میدهد بدون اطلاع کاربران، به خانههای آنها نفوذ کنند.
Matt Kunze، محقق امنیتی در ژانویهی ۲۰۲۱ پساز آزمایش Nest Mini خود از مشکل امنیتی آن مطلع شد. وی دریافت هکرها میتوانند با اضافهشدن یک حساب غیرمجاز به برنامه Home، دستگاه را با API از راهدور کنترل کنند.
Matt Kunze، دریافت هکر برای انجام اینکار بهنام دستگاه، گواهینامه و شناسه ابری API محلی نیاز دارد. شخص مهاجم با دردست داشتن تمام این موارد میتواند درخواست پیوند به دستگاه را از طریق سرور گوگل ارسال کند و پس از ورود به دستگاه بهعنوان یک کاربر، هکرها با چندین سناریو مواجه خواهند شد.
سناریوهایی که Kunze کشف کرده است شامل توانایی هکر برای جاسوسی از مردم است. آنها همچنین میتوانند درخواستهای HTTP را به شبکهی شما ارسال کرده یا حتی فایلهایی را روی دستگاهها بخوانند یا بنویسند.
هکرها ازطریق باگ Google Home میتوانند فرمان تماس را از راهدور فعال کرده و بدینترتیب هرزمان که با گوشی خود تماس بگیرید، به مکالمههای شما در محیط خانه گوش دهند. Kunze در ویدیویی چند Nest Mini بهرنگ آبی را نمایش داد که روی آنها تماسی درحال انجام است؛ بااینحال، امکان دارد هرکسی که در خانه حضور دارد به این موضوع توجهی نداشته باشد.
علاوهبراین، هکر توانایی کنترل سوئیچهای خانه هوشمند، انجام تراکنشهای آنلاین، بازکردن قفل درهای خانه و خودرو و حتی استفاده از PINهای مورداستفاده برای قفلهای هوشمند را بهدست میآورد.
نقص امنیتی در دستگاههای امنیتی به هکرها اجازه میدهد ازطریق حسگرهای دستگاه، مواردی مثل هویت و جنسیت افراد را شناسایی کنند.
Kunze درطول تجزیهوتحلیل خود درمورد اینکه چگونه آسیبپذیری Google Home را کشف کرده است اعلام کرد اگر آخرین نسخهی سیستمعامل را اجرا کنید، از این باگها در امان خواهید بود زیرا او آسیبپذیری مذکور را در سال ۲۰۲۱ به Google گزارش داد.
Kunze اظهارداشت گوگل قابلیت فعالکردن فرمان تماس از راه دور ازطریق روش مورد استفادهی هکرها را غیرفعال کرد. علاوهبراین بهمنظور افزایش امنیت، دستگاههای خانهی هوشمند گوگل با نمایشگرهایی مثل Nest Hub Max، با رمزعبور WPA۲ محافظت میشود. این رمز ازطریق کد QR رو نمایشگر نشان داده میشود.
منبع:
https://www.androidpolice.com/google-home-speakers-vulnerable-eavesdropping-hackers/
