Обнаружены уязвимости, которые позволяют злоумышленнику, находящемуся в непосредственной близости от беспроводной сети, установить постороннюю учетную запись на устройство Google Home в виде умных колонок. В итоге хакер сможет удаленно отправлять команды, получить доступ к микрофону и делать произвольные HTTP-запросы в локальной сети жертвы. Об этой новости сообщил the Hacker News 30 декабря 2022 года, ссылаясь на DownRightnifty.
Выполнение подобных злонамеренных запросов поможет стороннему лицу узнать пароли от Wi-Fi, а также предоставить злоумышленнику доступ к устройствам, подключенным к сети. Проблема связана с архитектурой программного обеспечения Google Home, которую можно взломать для добавления мошеннической учетной записи. Исследователь в области безопасности получил вознаграждение в размере 107,5 долларов за выявление проблем безопасности в умных колонках Google Home.
Цепочка описанных атак обуславливается тем, что, стремящийся подслушать жертву злоумышленник может заставить человека установить вредоносные Android приложения, которые при обнаружении устройства Google Home в сети отправляют скрытые HTTP-запросы для связи с учетной записью злоумышленника. Все это позволяет злоумышленнику использовать Google Home, чтобы уменьшить громкость до нуля и позвонить по определенному номеру телефона в любой момент времени с целью шпионажа через микрофон.
Атака может быть расширена для выполнения произвольных HTTP-запросов в сети жертвы и чтения файлов, внесения вредоносных изменений в связанное устройство, которые будут применены при первой же перезагрузке. Примечательно, что это уже не первый зафиксированный случай шпионажа за потенциальными целями с помощью устройств с голосовым управлением.
Ранее Интернет-журнал «LinDeal.com» рассказал о том, что анонсирован Home Assistant – голосовой помощник без подключения к интернету.
