Einige intelligente Lautsprecher von Google Home könnten entführt worden sein, um das Gerät fernzusteuern und sogar die Privatsphäre von Personen abzuhören (öffnet in neuem Tab) Gespräche, hat ein Sicherheitsexperte behauptet.
Der Fehler wurde vom Cybersicherheitsforscher Matt Kunze entdeckt, der eine Prämie in Höhe von 107.500 US-Dollar erhielt, weil er ihn verantwortungsbewusst an Google gemeldet hatte.
Kunze, der seinen persönlichen Google Home Mini-Lautsprecher auf mögliche Probleme untersuchte, erklärte in a Blogeintrag (öffnet in neuem Tab) wie er einen Weg fand, dem Gerät ein weiteres Google-Konto hinzuzufügen, das ausreichen würde, um Leute zu belauschen.
Hinzufügen von betrügerischen Konten
Zunächst muss sich der Angreifer in drahtloser Nähe des Geräts befinden und MAC-Adressen mit Google-Präfixen abhören.
Danach können sie Deauth-Pakete senden, um das Gerät vom Netzwerk zu trennen und den Setup-Modus auszulösen. Im Einrichtungsmodus fordern sie Geräteinformationen an und verwenden diese Informationen, um ihr Konto mit dem Gerät zu verknüpfen und – voila! – Sie können jetzt die Gerätebesitzer über das Internet ausspionieren und sich vom WLAN entfernen.
Aber das Risiko ist größer, als „nur“ den Gesprächen der Leute zuzuhören. Viele Benutzer von Smart-Home-Lautsprechern verbinden ihre Geräte mit verschiedenen anderen intelligenten Geräten, wie z. B. Türschlössern und intelligenten Schaltern. Darüber hinaus fand der Forscher einen Weg, den Befehl „Telefonnummer anrufen“ zu missbrauchen und das Gerät den Angreifer zu einer bestimmten Zeit anrufen und Live-Audio einspeisen zu lassen.
Der Fehler wurde Anfang 2021 entdeckt und bis April 2022 behoben, wobei Google das Problem anging, indem es ein neues einladungsbasiertes System zur Kontoverknüpfung erstellte und alle Konten blockierte, die nicht auf der Startseite hinzugefügt wurden.
Um jedoch sicherzustellen, dass kein Risiko besteht, wird Google Home-Nutzern empfohlen, die Firmware des Endpunkts so schnell wie möglich auf die neueste Version zu aktualisieren.
Über: Piepender Computer (öffnet in neuem Tab)