Un error als altaveus de Google Home va permetre controlar-los en remot i espiar converses dels seus usuaris

Un investigador ha descobert amb un ‘script’ desenvolupat per Python un error als altaveus de Google Home, que oferia la possibilitat d’instal·lar un compte de porta posterior per controlar aquests dispositius en remot i espiar les converses dels usuaris.

Python és un llenguatge de programació utilitzat en bona part de les aplicacions web, el desenvolupament de ‘software’, la ciència de dades i el ‘machine learning’. És de descàrrega gratuïta i es pot utilitzar en tots els sistemes.

Un investigador anomenat Matt Kunze ha anunciat que recentment ha rebut una compensació econòmica de part de Google per una de les seves últimes troballes, centrada en els altaveus intel·ligents de Google Home.

Concretament, Kunze ha rebut 107.500 dòlars (uns 100.615 euros al canvi actual) per haver descobert un error en aquests dispositius que permetia la instal·lació d’un compte de porta posterior i que els ciberdelinqüents podrien haver aprofitat per controlar-los en remot i espiar converses dels seus usuaris.

L’investigador, que va utilitzar un ‘script’ de Python per accedir al sistema d’aquests dispositius, va utilitzar per al seu experiment un Google Home Mini, tot i que ha reconegut que aquest tipus d’atacs van oferir els mateixos resultats en altres models de la marca.

En primer lloc, Kunze ha insistit que al començament de la seva investigació va notar «com de fàcil era afegir nous usuaris al dispositiu des de l’aplicació Google Home», així com vincular-hi un compte, tal com es pot llegir al seu blog.

Amb això, ha exposat les diferents rutes per les quals poden optar els ciberdelinqüents per accedir als altaveus desenvolupats per Google. En primer lloc, comenta l’opció d’obtenir el microprogramari del dispositiu descarregant-lo des del lloc web del proveïdor. A continuació, la realització d’una anàlisi estàtica de l’aplicació que interactua amb el dispositiu. En aquest cas, Google Home.

També es poden interceptar les comunicacions entre l’aplicació i el dispositiu o entre aquests i els servidors del proveïdor mitjançant un atac conegut com d’intermediari (MitM, per les seves sigles en anglès).

L’investigador va utilitzar l’aplicació de Google Home i es va adonar que a través seu es podien enviar comandos de forma remota a través de la interfície de programació d’aplicacions (API, per les seves sigles en anglès) al núvol. Llavors, va utilitzar un escaneig de Nmap per trobar el port de l’API HTTP local del dispositiu i va configurar un servidor intermediari per capturar el trànsit HTTPS xifrat.

Una vegada obtingudes aquestes dades, va saber que el procés d’afegir un nou usuari al dispositiu de destinació requeria tant el nom d’aquest com el certificat i l’ID del núvol de l’API local. Concretament, per afegir un usuari malintencionat va implantar aquesta connexió en un ‘script’ de Pyhton, que va reproduir la sol·licitud de vinculació.

En aquest sentit, Kunze descriu l’escenari d’atac més probable en cas que els ciberdelinqüents haguessin aprofitat aquesta porta posterior. Primer indica que, quan els atacants busquen espiar les seves víctimes dins de la proximitat de Google Home, aconsegueix accedir als seus identificadors únics o MAC.

A continuació, l’atacant envia paquets de desautorització per desconnectar el dispositiu de la xarxa wifi i desplegar el mode de Configuració. Després, es connecta a aquesta altra configuració i sol·licita la informació del dispositiu (nom, certificat i ID del núvol).

Després de connectar-se a internet i fer ús de les dades de l’usuari, vincula el seu compte al dispositiu de la víctima. A partir de llavors, ja pot espiar la víctima sense haver de ser a prop del dispositiu, sinó únicament a través de Google Home o internet.

L’investigador ha publicat tres demostracions de concepte (PoC, per les seves sigles en anglès) a GitHub per a aquestes accions, tot i que ha remarcat que no haurien de funcionar als dispositius Google Home que executen l’última versió del seu microprogramari.

Convé esmentar que Kunze va descobrir aquesta fallada de seguretat el gener del 2021 i va informar la companyia d’aquest problema el març del 2021. Tan sols un mes després, a l’abril, Google ja havia solucionat aquest problema amb un pedaç de seguretat.

No obstant, tal com avancen a Bleeping Computer, Google Home es va llançar el 2016 i les rutines programades dels seus altaveus intel·ligents tan sols dos anys després, per la qual cosa els atacants s’haurien pogut aprofitar d’aquesta vulnerabilitat durant anys.