Jeden z użytkowników inteligentnych głośników Home Mini otrzymał niedawno „nagrodę” od Google za odkrycie problemów związanych z bezpieczeństwem i możliwością podsłuchiwania użytkownika przez osoby postronne. Wystarczył zasięg sieci Wi-Fi bez znajomości hasła.
Włamania do smart home przez Google Home Mini?
Jeden z użytkowników inteligentnego głośnika Google zauważył, że aplikacja Google Home umożliwia łatwe dodawanie innych użytkowników do sieci tworzonego smart home. W ten sposób da się powiązać konta z urządzeniami, a co za tym idzie – zarządzać i kontrolować urządzenie z różnych urządzeń. Postanowił to wykorzystać.
Użytkownik i badacz, podpisujący się jako Matt, wyjaśnił, że wykorzystał metodę przechwytywania komunikacji pomiędzy aplikacją a urządzeniem poprzez zastosowanie ataku MITM („man-in-the-middle”).
Mattowi udało się przeprowadzić atak na swój własny głośnik przez zainstalowanie tzw. „tylnego wejścia” na urządzeniu. Dzięki temu procesowi było możliwe zdalne przesyłanie przez sieć poleceń z zewnątrz, a także uzyskiwanie dostęp do mikrofonu i innych żądań w obrębie HTTP. Warunkiem do przeprowadzenia ataku była konieczność dostępu do sieci Wi-Fi użytkownika, jednak bez posiadania hasła.
Po programistycznych walkach, odkrywcy luki udało się połączyć z obcego konta z urządzeniem Home Mini, które ma dostęp do wszystkich smart urządzeń. Poza tym udało się wprowadzać nowe procedury w sieci Google Home, co bezpośrednio umożliwiło na przykład na zdalne wykonywanie połączeń, a także uruchamianie innych inteligentnych urządzeń, takich jak żarówki, które były wprowadzone do systemu inteligentnego domu. Było możliwe także nagrywanie dźwięku, zbieranego przez urządzenie Home Mini i przesyłanie go do powiązanego z nim smartfona.
Odkrywanie luk w systemach sowicie nagradzane
Zgłoszenie tych problemów z bezpieczeństwem do Google zostało nagrodzone kwotą w wysokości ponad 100 tysięcy dolarów. Oczywiście problemy już zostały naprawione, a firma zachęca wszystkich badaczy i programistów do odkrywania luk w zakresie oprogramowania systemu i oferowanych sprzętów.
Matt przyznaje, że odkryte problemy zlokalizowane były trudne do zreplikowania i system bezpieczeństwa zapewniany przez producenta Home Mini jest całkiem niezły. Mimo to zdarzają się sytuacje, w których luki wychodzą na jaw, co przekłada się na nagrody pieniężne oraz możliwość poprawienia błędów przez deweloperów.