La domótica está cada vez más extendida y tener dispositivos que podamos controlar por voz o a través del móvil es muy común. Sin embargo a veces podemos encontrarnos con vulnerabilidades y problemas que afectan a la seguridad o privacidad. En este artículo nos hacemos eco de un problema de los altavoces de Google Home que ha permitido a los piratas informáticos poder escuchar todas las conversaciones. Un atacante externo podía controlar el dispositivo de forma remota.
Fallo de seguridad en los altavoces de Google Home
Concretamente se trata de un error de los altavoces de Google Home que permitió que un atacante instalara una puerta trasera la cual podía ser usada para espiar. Podían controlar de forma remota el dispositivo y acceder al micrófono. Podían escuchar conversaciones y, lógicamente, comprometer la privacidad de la víctima.
Pero, ¿cómo han detectado este problema? Fue a través de un programa de recompensas para detectar vulnerabilidades y Google ofrecía una suma económica por ello. El investigador de seguridad Matt Kunze fue quien hizo el hallazgo y posteriormente publicó los detalles técnicos y de qué manera podrían explotar el problema.
Este investigador de seguridad empezó a experimentar con un altavoz de Google Home. Descubrió que las nuevas cuentas añadidas a través de la aplicación de Google Home podían enviar comandos de forma remota a través de la API en la nube. Fue capaz de capturar el tráfico. Podía enviar una solicitud de enlace al servidor de Google y poder iniciar la vinculación.
En GitHub subió el reporte completo de cómo logró explotar este error. Allí muestra cómo es posible espiar a una víctima a través de Internet si utiliza un altavoz de Google Home.
Qué pueden hacer a través del altavoz de Google Home
El hecho de tener una cuenta no autorizada vinculada a un altavoz de Google Home puede suponer un problema importante. Eso da poder a un atacante para controlar enchufes inteligentes, realizar compras online o incluso acceder a cerraduras inteligentes que puedan estar vinculadas.
A todo esto hay que sumar la posibilidad de activar el micrófono en un momento determinado. Esto lo logran al poder realizar una llamada a un teléfono controlado por el atacante. Básicamente lo que hace es escuchar esa llamada, escuchar todo lo que se dice al otro lado, en el micrófono del altavoz de Google Home. Una manera de espiar a la víctima.
Pero, ¿la víctima no notaba nada en caso de que estuvieran escuchándole? Lo único que vería es la luz azul del LED iluminada. Eso indicaría que se está realizando una llamada, pero se puede confundir con una actualización de firmware.
Un atacante incluso podría reproducir audio en ese altavoz. También podría forzar el emparejamiento con otros dispositivos, ya sean Bluetooth o Wi-Fi, así como olvidar las redes inalámbricas vinculadas.
¿Cómo puedes evitar que te espíen de esta forma si tienes un altavoz de Google Home? La solución es muy sencilla: asegúrate de tener el firmware actualizado. Lógicamente, una vez el investigador de seguridad informó a Google se pusieron manos a la obra y lanzaron parches para corregir el problema. Si tienes las últimas versiones, no debes temer por esta vulnerabilidad.
El artículo Este fallo grave en Google Home permite a cualquiera escucharte se publicó en RedesZone.
0 Commentaires