Исследователь безопасности по имени Мэтт Кунце (Matt Kunze) получил от Google вознаграждение в размере 107 500 долларов за обнаружение уязвимостей в умных колонках Google Home. Баги позволяли злоумышленнику установить на устройство скрытый «бэкдор»-аккаунт и превратить его в инструмент для прослушки.
В чём была суть проблемы
По описанию исследователя, обнаруженные недостатки «позволяли атакующему в зоне действия беспроводной сети установить на устройство бэкдор-аккаунт, что давало возможность удалённо отправлять на колонку команды через интернет, получать доступ к микрофону и выполнять произвольные HTTP-запросы внутри домашней сети жертвы». Подробности были опубликованы в техническом отчёте Кунце на этой неделе.
Через такие запросы злоумышленник мог не только узнать пароль от Wi-Fi жертвы, но и получить прямой доступ к другим устройствам в той же сети.
Как проходила атака
Проблема связана с тем, как архитектура программного обеспечения Google Home позволяет привязать к устройству посторонний аккаунт Google. В одном из сценариев атаки злоумышленник заставлял жертву установить вредоносное приложение для Android. Приложение, обнаружив в сети колонку Google Home, незаметно отправляло HTTP-запросы, которые привязывали аккаунт атакующего к устройству жертвы.
Более изощрённый вариант предполагал атаку деаутентификации Wi-Fi: колонку принудительно отключали от сети, из-за чего она переходила в «режим настройки» и создавала собственную открытую точку доступа Wi-Fi. Подключившись к этой сети, злоумышленник запрашивал у устройства данные — имя устройства, cloud_device_id и сертификат — и с их помощью привязывал к нему свой аккаунт.
Что получал атакующий в итоге
Независимо от способа привязки аккаунта, успешный взлом позволял злоумышленнику использовать функцию «рутин» (routines) Google Home: убавить громкость до нуля и в любой момент инициировать звонок на заданный номер телефона, чтобы прослушивать происходящее рядом с колонкой через её микрофон.
«Единственное, что может заметить жертва, — это то, что светодиод устройства горит ровным синим цветом, но, скорее всего, она просто решит, что идёт обновление прошивки, — рассказал Кунце. — Во время звонка индикатор не пульсирует, как обычно при активном прослушивании, поэтому никаких признаков того, что микрофон включён, нет».
Атаку можно было развить и дальше: выполнять произвольные HTTP-запросы в сети жертвы, читать файлы и вносить вредоносные изменения в настройки устройства, которые применялись бы после перезагрузки.
Когда закрыли уязвимости
Кунце сообщил об уязвимостях по программе ответственного раскрытия 8 января 2021 года, а Google устранила проблемы в апреле 2021-го. Среди принятых мер — механизм привязки аккаунта к устройству через API только по приглашению и запрет на удалённый запуск команд звонка через рутины.
Это не первый случай, когда исследователи находят способы скрытно прослушивать пользователей через голосовые устройства. В ноябре 2019 года группа учёных описала технику Light Commands — уязвимость MEMS-микрофонов, которая позволяет с помощью света удалённо и незаметно передавать команды популярным голосовым помощникам, включая Google Assistant, Amazon Alexa, Facebook Portal и Apple Siri.
Источник: The Hacker News.