Google Home Mini

Google Mini można przerobić na podsłuch. Kto by się spodziewał?

Jeden z użytkowników inteligentnych głośników Home Mini otrzymał niedawno „nagrodę” od Google za odkrycie problemów związanych z bezpieczeństwem i możliwością podsłuchiwania użytkownika przez osoby postronne. Wystarczył zasięg sieci Wi-Fi bez znajomości hasła.

Włamania do smart home przez Google Home Mini?

Jeden z użytkowników inteligentnego głośnika Google zauważył, że aplikacja Google Home umożliwia łatwe dodawanie innych użytkowników do sieci tworzonego smart home. W ten sposób da się powiązać konta z urządzeniami, a co za tym idzie – zarządzać i kontrolować urządzenie z różnych urządzeń. Postanowił to wykorzystać.

Użytkownik i badacz, podpisujący się jako Matt, wyjaśnił, że wykorzystał metodę przechwytywania komunikacji pomiędzy aplikacją a urządzeniem poprzez zastosowanie ataku MITM („man-in-the-middle”).

Mattowi udało się przeprowadzić atak na swój własny głośnik przez zainstalowanie tzw. „tylnego wejścia” na urządzeniu. Dzięki temu procesowi było możliwe zdalne przesyłanie przez sieć poleceń z zewnątrz, a także uzyskiwanie dostęp do mikrofonu i innych żądań w obrębie HTTP. Warunkiem do przeprowadzenia ataku była konieczność dostępu do sieci Wi-Fi użytkownika, jednak bez posiadania hasła.

Asystent Google będzie odtwarzał Podcasty na współpracujących urządzeniach
Asystent Google będzie odtwarzał podcasty na współpracujących urządzeniach | fot. Google

Po programistycznych walkach, odkrywcy luki udało się połączyć z obcego konta z urządzeniem Home Mini, które ma dostęp do wszystkich smart urządzeń. Poza tym udało się wprowadzać nowe procedury w sieci Google Home, co bezpośrednio umożliwiło na przykład na zdalne wykonywanie połączeń, a także uruchamianie innych inteligentnych urządzeń, takich jak żarówki, które były wprowadzone do systemu inteligentnego domu. Było możliwe także nagrywanie dźwięku, zbieranego przez urządzenie Home Mini i przesyłanie go do powiązanego z nim smartfona.

Odkrywanie luk w systemach sowicie nagradzane

Zgłoszenie tych problemów z bezpieczeństwem do Google zostało nagrodzone kwotą w wysokości ponad 100 tysięcy dolarów. Oczywiście problemy już zostały naprawione, a firma zachęca wszystkich badaczy i programistów do odkrywania luk w zakresie oprogramowania systemu i oferowanych sprzętów.

Matt przyznaje, że odkryte problemy zlokalizowane były trudne do zreplikowania i system bezpieczeństwa zapewniany przez producenta Home Mini jest całkiem niezły. Mimo to zdarzają się sytuacje, w których luki wychodzą na jaw, co przekłada się na nagrody pieniężne oraz możliwość poprawienia błędów przez deweloperów.