Investigador de seguridad obtiene una recompensa de $ 107K por piratear Google Home para espiarte

Los altavoces inteligentes, como Google Home, se han vuelto cada vez más populares en los últimos años por su comodidad y funcionalidad. Permiten a los usuarios controlar su hogar, acceder a información y reproducir música mediante comandos de voz. Sin embargo, un investigador de seguridad descubrió recientemente que estos dispositivos pueden no ser tan seguros como los usuarios podrían pensar que son. El investigador, que se hace llamar Matt Kunze, publicó un artículo técnico a principios de esta semana que detalla las vulnerabilidades que descubrió en el altavoz inteligente de Google Home.

El investigador comenzó a investigar Google Home después de notar lo fácil que era agregar nuevos usuarios al dispositivo desde la aplicación Google Home. Descubrió que vincular una cuenta al dispositivo le daba al usuario una cantidad significativa de control sobre él, incluida la capacidad de crear «rutinas» (accesos directos para ejecutar una serie de comandos) e instalar «acciones» (pequeñas aplicaciones).

Kunze se preocupó por los posibles riesgos de seguridad cuando se dio cuenta de que cualquier persona con una cuenta vinculada al dispositivo podía enviarle comandos de forma remota a través de la función de «rutinas». Luego decidió investigar el proceso de vinculación para determinar qué tan fácil sería para un atacante vincular una cuenta y potencialmente obtener acceso al dispositivo.

Para investigar más a fondo, Kunze quería interceptar y analizar el tráfico entre una aplicación de Google Home y un dispositivo de Google Home, así como entre la aplicación y los servidores de Google. Para hacer esto, configuró un servidor proxy usando mitmproxy y configuró su teléfono para enrutar todo el tráfico a través del proxy. Sin embargo, Google había comenzado a usar HTTPS, lo que hizo que interceptar el tráfico fuera más desafiante. Para evitar esto, Kunze usó un teléfono rooteado y un script de Frida para evitar la fijación de SSL e interceptar con éxito el tráfico cifrado. Luego examinó el proceso de vinculación entre un Chromecast y una aplicación de Google Home, y pudo replicarlo para vincular con éxito su cuenta a un dispositivo de Google Home.

Al mirar la información de la red, Kunze encontró que se estaba realizando una solicitud POST a un punto final específico en los servidores de Google con una carga útil de Protocol Buffers, que pudo decodificar con la herramienta protoc. Al modificar esta solicitud y reemplazar la información de Chromecast con la información de Google Home, pudo vincular con éxito una nueva cuenta a Google Home. Luego creó un script de Python que usaba la biblioteca gpsoauth y a. proto para recrear el proceso de vincular una nueva cuenta a un dispositivo Google Home sin necesidad de la aplicación.

El investigador descubrió que es fácil desconectar un dispositivo cercano de su red Wi-Fi enviando un paquete de «desconexión» al dispositivo de destino y poniéndolo en modo de «configuración». Google Home Mini no admite marcos de gestión cifrados (802.11w o WPA3), lo que lo hace vulnerable a este tipo de ataques. El investigador demostró esto mediante el uso de aircrack-ng para lanzar un ataque de deauth en su Google Home, lo que provocó que se desconectara de la red y creara la suya propia. Kunze pudo conectarse a la nueva red y usar netstat para obtener la IP del enrutador (Google Home) y emitir con éxito una solicitud de API local.

Así fue como el investigador pudo conectarse con éxito a su Google Home Mini de forma remota y controlarlo. También observó que es posible que la víctima no note ninguna actividad inusual, ya que el LED del dispositivo se volverá azul fijo, lo que generalmente se asocia con las actualizaciones de firmware, y el indicador de activación del micrófono no parpadeará durante una llamada.

Así es como se ve cuando una llamada se inicia de forma remota:

Kunze resumió un posible escenario de ataque de la siguiente manera:

1. El atacante desea espiar a la víctima. El atacante puede acercarse de forma inalámbrica a Google Home (pero NO tiene la contraseña de Wi-Fi de la víctima).
2. El atacante descubre el Google Home de la víctima escuchando direcciones MAC con prefijos asociados con Google Inc. (p. ej., E4:F0:42).
3. El atacante envía paquetes de desautorización para desconectar el dispositivo de su red y hacer que ingrese al modo de configuración.
4. El atacante se conecta a la red de configuración del dispositivo y solicita la información de su dispositivo.
5. El atacante se conecta a Internet y utiliza la información del dispositivo obtenida para vincular su cuenta al dispositivo de la víctima.
6. El atacante ahora puede espiar a la víctima a través de su Google Home a través de Internet (ya no es necesario estar cerca del dispositivo).

Kunze también publicó tres pruebas de concepto (POC) en GitHub, aunque ninguna de ellas funciona ya que Google ya solucionó las fallas de seguridad. El repositorio sirve más bien como documentación y preservación de los ejemplos.

Google corrigió las vulnerabilidades en abril de 2021 con un parche que incluía un nuevo sistema basado en invitaciones para manejar los enlaces de cuentas y bloqueaba cualquier intento no agregado en el dispositivo Home. El parche también hizo imposible desautentificar el dispositivo de una manera que pudiera usarse para vincular una nueva cuenta e hizo que la API local fuera inaccesible. Además, Google agregó protección para evitar el inicio remoto del comando «llamar a [número de teléfono]» a través de rutinas.

Vale la pena señalar que estas vulnerabilidades estuvieron presentes durante una cantidad significativa de tiempo antes de que se descubrieran y abordaran, ya que Google Home se lanzó en 2016 y las vulnerabilidades no se solucionaron hasta 2021.

Los dispositivos domésticos inteligentes se están volviendo cada vez más comunes en los hogares y ofrecen características y funcionalidades convenientes, pero también presentan riesgos potenciales para la privacidad y la seguridad de los usuarios. Es importante que los fabricantes prioricen la seguridad en el desarrollo de estos dispositivos para proteger la privacidad de los usuarios y evitar posibles abusos.

Kunze fue recompensado con una recompensa por errores de $ 107,500 por su trabajo.

Fuente: Matt Kunze vía: The Hacker News , Bleeping Computer

Para aquellos interesados ​​en participar en programas de recompensas por errores y ayudar a identificar y reportar vulnerabilidades de seguridad, Google ofrece una plataforma llamada Google Bug Hunter.

Obtenga más información haciendo clic aquí .