Se puede hacer que el dispositivo entre en un "modo de configuración" y cree su propia red Wi-Fi abierta
Un investigador de seguridad recibió una recompensa por errores de $107.500 por identificar problemas de seguridad en los altavoces inteligentes de Google Home que podrían explotarse para instalar puertas traseras y convertirlas en dispositivos de escuchas telefónicas.
Las fallas "permitieron que un atacante dentro de la proximidad inalámbrica instalara en el dispositivo una cuenta de 'puerta trasera', lo que le permitía enviarle comandos de forma remota a través de Internet, acceder a la alimentación de su micrófono, y realizar solicitudes HTTP arbitrarias dentro de la LAN de la víctima", reveló el investigador, que se hace llamar Matt, en un artículo técnico publicado esta semana.
Al realizar tales solicitudes maliciosas, no solo podría quedar expuesta la contraseña de Wi-Fi, sino que también proporcionaría al adversario acceso directo a otros dispositivos conectados a la misma red. Luego de la divulgación responsable el 8 de enero de 2021, Google solucionó los problemas en abril de 2021.
El problema, en pocas palabras, tiene que ver con cómo se puede aprovechar la arquitectura del software Google Home para agregar una cuenta de usuario de Google no autorizada al dispositivo de automatización del hogar de un objetivo.
En una cadena de ataque detallada por el investigador, un actor de amenazas que busca espiar a una víctima puede engañar a la persona para que instale una aplicación de Android maliciosa que, al detectar un dispositivo Google Home en la red, emite solicitudes HTTP sigilosas para vincular la cuenta de un atacante al dispositivo de la víctima.
Llevando las cosas un poco más arriba, también se supo que, al organizar un ataque de desautenticación de Wi-Fi para obligar a un dispositivo Google Home a desconectarse de la red, se puede hacer que el dispositivo entre en un "modo de configuración" y cree su propia red Wi-Fi abierta.
El actor de amenazas puede conectarse posteriormente a la red de configuración del dispositivo y solicitar detalles como el nombre del dispositivo, cloud_device_id y certificado, y usarlos para vincular su cuenta al dispositivo.
Independientemente de la secuencia de ataque empleada, un proceso de enlace exitoso permite al adversario aprovechar las rutinas de Google Home para bajar el volumen a cero y llamar a un número de teléfono específico en cualquier momento para espiar a la víctima a través del micrófono del dispositivo.
"Lo único que la víctima puede notar es que los LED del dispositivo se vuelven azules fijos, pero probablemente supongan que está actualizando el firmware o algo así", dijo Matt. "Durante una llamada, los LED no parpadean como lo hacen normalmente cuando el dispositivo está escuchando, por lo que no hay indicación de que el micrófono esté abierto".
Además, el ataque puede extenderse para realizar solicitudes HTTP arbitrarias dentro de la red de la víctima e incluso leer archivos o introducir modificaciones maliciosas en el dispositivo vinculado que se aplicarían después de un reinicio.
Esta no es la primera vez que se diseñan métodos de ataque de este tipo para husmear de forma encubierta en objetivos potenciales a través de dispositivos activados por voz.
En noviembre de 2019, un grupo de académicos reveló una técnica llamada Light Commands, que se refiere a una vulnerabilidad de los micrófonos MEMS que permite a los atacantes usando luz inyectar de forma remota señales inaudibles y comandos invisibles en populares asistentes de voz como Google Assistant, Amazon Alexa, Facebook Portal y Apple Siri.
