Badacz bezpieczeństwa zgarnia nagrodę w wysokości 107 000 USD za zhakowanie Google Home w celu szpiegowania Ciebie

Inteligentne głośniki, takie jak Google Home, stają się w ostatnich latach coraz bardziej popularne ze względu na wygodę i funkcjonalność. Pozwalają użytkownikom sterować domem, uzyskiwać dostęp do informacji i odtwarzać muzykę za pomocą poleceń głosowych. Jednak badacz bezpieczeństwa niedawno odkrył, że te urządzenia mogą nie być tak bezpieczne, jak mogą sądzić użytkownicy. Badacz, który występuje pod pseudonimem Matt Kunze, opublikował na początku tego tygodnia artykuł techniczny, w którym szczegółowo opisał luki w zabezpieczeniach, które odkrył w inteligentnym głośniku Google Home.

Badacz zaczął badać Google Home po zauważeniu, jak łatwo było dodawać nowych użytkowników do urządzenia z aplikacji Google Home. Odkrył, że powiązanie konta z urządzeniem daje użytkownikowi znaczną kontrolę nad nim, w tym możliwość tworzenia „procedur” – skrótów do uruchamiania serii poleceń – oraz instalowania „akcji” (małych aplikacji).

Kunze zaniepokoił się potencjalnym zagrożeniem bezpieczeństwa, gdy zdał sobie sprawę, że każdy, kto ma konto połączone z urządzeniem, może zdalnie wysyłać mu polecenia za pomocą funkcji „rutyn”. Następnie postanowił zbadać proces łączenia, aby określić, jak łatwo atakującemu mogłoby połączyć konto i potencjalnie uzyskać dostęp do urządzenia.

Aby zbadać sprawę dokładniej, Kunze chciał przechwycić i przeanalizować ruch między aplikacją Google Home a urządzeniem Google Home, a także między aplikacją a serwerami Google. Aby to zrobić, skonfigurował serwer proxy za pomocą mitmproxy i skonfigurował swój telefon tak, aby kierował cały ruch przez serwer proxy. Jednak Google zaczął używać protokołu HTTPS, co utrudniało przechwytywanie ruchu. Aby to ominąć, Kunze użył zrootowanego telefonu i skryptu Frida, aby ominąć przypinanie SSL i skutecznie przechwycić zaszyfrowany ruch. Następnie zbadał proces łączenia między Chromecastem a aplikacją Google Home i był w stanie go zreplikować, aby pomyślnie połączyć swoje konto z urządzeniem Google Home.

Po przejrzeniu informacji o sieci Kunze znalazł żądanie POST wysyłane do określonego punktu końcowego na serwerach Google z ładunkiem buforów protokołów, które był w stanie zdekodować za pomocą narzędzia protoc. Modyfikując to żądanie i zastępując informacje Chromecasta informacjami Google Home, udało mu się pomyślnie połączyć nowe konto z Google Home. Następnie stworzył skrypt w Pythonie, który wykorzystywał bibliotekę gpsoauth i plik . proto, aby odtworzyć proces łączenia nowego konta z urządzeniem Google Home bez potrzeby korzystania z aplikacji.

Badacz odkrył, że łatwo jest odłączyć pobliskie urządzenie od jego sieci Wi-Fi, wysyłając pakiet „deauth” do urządzenia docelowego i przełączając je w tryb „konfiguracji”. Google Home Mini nie obsługuje szyfrowanych ramek zarządzania (802.11w lub WPA3), co czyni go podatnym na tego typu ataki. Badacz wykazał to, używając aircrack-ng do przeprowadzenia ataku deauth na ich Google Home, powodując odłączenie go od sieci i utworzenie własnego. Kunze był w stanie połączyć się z nową siecią i użyć netstat, aby uzyskać adres IP routera (Google Home) i pomyślnie wysłać żądanie lokalnego interfejsu API.

W ten sposób badacz mógł z powodzeniem połączyć się zdalnie ze swoim Google Home Mini i sterować nim. Zauważył również, że ofiara może nie zauważyć żadnej nietypowej aktywności, ponieważ dioda LED urządzenia zacznie świecić na niebiesko, co zwykle wiąże się z aktualizacjami oprogramowania układowego, a wskaźnik aktywacji mikrofonu nie będzie pulsować podczas rozmowy.

Oto jak to wygląda, gdy połączenie jest inicjowane zdalnie –

Kunze podsumował możliwy scenariusz ataku w następujący sposób:

1. Atakujący chce szpiegować ofiarę. Atakujący może zbliżyć się bezprzewodowo do Google Home (ale NIE ma hasła Wi-Fi ofiary).
2. Atakujący odkrywa Google Home ofiary nasłuchując adresów MAC z prefiksami powiązanymi z Google Inc. (np. E4:F0:42).
3. Atakujący wysyła pakiety deauth, aby odłączyć urządzenie od sieci i wprowadzić je w tryb konfiguracji.
4. Atakujący łączy się z siecią konfiguracji urządzenia i żąda informacji o swoim urządzeniu.
5. Atakujący łączy się z Internetem i wykorzystuje uzyskane informacje o urządzeniu do powiązania swojego konta z urządzeniem ofiary.
6. Atakujący może teraz szpiegować ofiarę za pośrednictwem swojego Google Home przez Internet (nie musi już znajdować się w pobliżu urządzenia).

Kunze opublikował również trzy dowody koncepcji (POC) na GitHub, chociaż żaden z nich już nie działa, ponieważ Google naprawił już luki w zabezpieczeniach. Repozytorium służy raczej jako dokumentacja i przechowywanie przykładów.

Google naprawił luki w kwietniu 2021 r. za pomocą łatki, która zawierała nowy system obsługi połączeń kont oparty na zaproszeniach i blokowała wszelkie próby, które nie zostały dodane na urządzeniu domowym. Łatka uniemożliwiła również cofnięcie uwierzytelnienia urządzenia w sposób, który mógłby posłużyć do powiązania nowego konta, oraz uniemożliwiła dostęp do lokalnego API. Ponadto Google dodał ochronę, aby uniemożliwić zdalne inicjowanie polecenia „zadzwoń [numer telefonu]” za pomocą procedur.

Warto zauważyć, że luki te istniały przez długi czas, zanim zostały wykryte i zaadresowane, ponieważ Google Home został wydany w 2016 r., a luki zostały naprawione dopiero w 2021 r.

Inteligentne urządzenia domowe stają się coraz bardziej powszechne w domach i oferują wygodne funkcje i funkcjonalność, ale stwarzają również potencjalne zagrożenie dla prywatności i bezpieczeństwa użytkowników. Ważne jest, aby producenci priorytetowo traktowali bezpieczeństwo podczas opracowywania tych urządzeń, aby chronić prywatność użytkowników i zapobiegać potencjalnym nadużyciom.

Kunze został nagrodzony nagrodą za błąd w wysokości 107 500 $ za swoją pracę.

Źródło: Matt Kunze za pośrednictwem: The Hacker News , Bleeping Computer

Osobom zainteresowanym uczestnictwem w programach bug bounty oraz pomocą w identyfikowaniu i zgłaszaniu luk w zabezpieczeniach Google oferuje platformę o nazwie Google Bug Hunter.

Dowiedz się więcej, klikając tutaj .