Un error en los altavoces de Google Home fue descubierto por un investigador con un ‘script’ desarrollado por Python.
Dicho error brindaba la posibilidad de instalar una cuenta de puerta trasera para controlar estos dispositivos en remoto y espiar las conversaciones de los usuarios.
Python es un lenguaje de programación de propósito general y alto nivel, utilizado en buena parte de las aplicaciones web, el desarrollo de 'software', la ciencia de datos y el 'machine learning'.
Matt Kunze, investigador, informó que recibió una retribución económica de parte de Google por uno de sus últimos hallazgos, enfocado en los altavoces inteligentes de Google Home.
Kunze fue retribuido con u$s 107.500 por descubrir un error en estos dispositivos.
Esto posibilitó a los ciberdelincuentes la instalación de una cuenta de puerta trasera que podrían aprovechar para controlarlos en remoto y espiar conversaciones de sus usuarios.
El investigador utilizó para su experimento un Google Home Mini, aunque reconoció que este tipo de ataques ofrecieron los mismos resultados en otros modelos de la marca.
Para empezar, Kunze comentó en su blog que al comienzo de su investigación notó "lo fácil que era agregar nuevos usuarios al dispositivo desde la aplicación Google Home", así como vincular una cuenta al dispositivo.
Con esto expuso las distintas rutas por las que podrían operar los ciberdelincuentes para acceder a los altavoces desarrollados por Google.
Por un lado, comentó la opción de obtener el 'firmware' del dispositivo descargándolo desde el sitio web del proveedor. Luego, la realización de un análisis estático de la aplicación interactúa con el dispositivo, en este caso Google Home.
Además podrá interceptar las comunicaciones entre la aplicación y el dispositivo o entre éstos y los servidores del proveedor mediante un ataque conocido como de intermediario (MitM, por sus siglas en inglés).
El investigador al utilizar Google Home, descubrió que a través de ella se podía enviar comandos de forma remota mediante la interfaz de programación de aplicaciones en la nube.
Nmap fue el escaneo que usó para encontrar el puerto de la API HTTP local del dispositivo y configuró un proxy para capturar el tráfico HTTPS cifrado.
Tras la obtención de estos datos, agregar un nuevo usuario al dispositivo de destino, iba a requerir tanto el nombre de este como el certificado y la ID de la nube de la API local.
Kunze comentó que cuando los atacantes buscan espiar a sus víctimas dentro de la proximidad de Google Home, logran acceder a sus identificadores únicos o MAC.
El atacante enviará paquetes de desautorización para desconectar el dispositivo de la red WiFi y desplegar el modo de Configuración, donde luego se podrá conectar a esta otra configuración y solicitar la información del dispositivo.
Tras conectarse a internet y hacer uso de los datos del usuario, vinculará su cuenta al dispositivo de la víctima.
El investigador publicó tres demostraciones de concepto (PoC, por sus siglas en inglés) en GitHub para estas acciones.
Kunze descubrió este fallo en enero de 2021 y lo informó a la compañía en marzo de 2021. A raíz de esto, Google pudo solucionar el problema un mes después.
Sin embargo, Bleeping Computer adelantó que Google Home se lanzó en 2016 y las rutinas programadas de sus altavoces inteligentes dos años después, por lo que los atacantes pudieron aprovechar esta vulnerabilidad durantes años.