Los altavoces inteligentes Google Home permitieron a los hackers espiar conversaciones
Una vulnerabilidad en el altavoz inteligente Google Home permitió instalar una cuenta de puerta trasera que podría usarse para controlarlo de forma remota y convertirlo en un dispositivo de espionaje al acceder al micrófono.
Un investigador descubrió el problema y recibió $107,500 por reportarlo responsablemente a Google el año pasado. A principios de esta semana, el investigador publicó detalles técnicos sobre el hallazgo y un escenario de ataque para mostrar cómo se podría aprovechar la vulnerabilidad.
Proceso de compromiso
Mientras experimentaba con su propio altavoz Google Home mini, el investigador descubrió que las nuevas cuentas añadidas mediante la aplicación Google Home podían enviarle comandos de forma remota a través de la API en la nube.
Usando un escaneo de Nmap, el investigador encontró el puerto para la API HTTP local de Google Home. Entonces, él configuró un proxy para capturar el tráfico HTTPS cifrado, con la esperanza de obtener el token de autorización del usuario.
El investigador descubrió que agregar un nuevo usuario al dispositivo de destino es un proceso de dos pasos que requiere el nombre del dispositivo, el certificado y la “ID de la nube” de su API local. Con esta información, podrían enviar una solicitud de enlace al servidor de Google.
Para agregar un usuario malicioso a un dispositivo objetivo Google Home, el analista implementó el proceso de vinculación en un script de Python. El script automatizó la exfiltración de los datos del dispositivo local y reprodujo la solicitud de vinculación.
Ataque
El ataque ha sido resumido en el blog del investigador de la siguiente manera:
- El atacante desea espiar a la víctima dentro de la proximidad inalámbrica de Google Home (pero NO tiene la contraseña de Wi-Fi de la víctima).
- El atacante descubre el Google Home de la víctima escuchando direcciones MAC con prefijos asociados con Google (Por ejemplo, E4:F0:42).
- El atacante envía paquetes de desautorización para desconectar el dispositivo de su red y hacer que ingrese al modo de configuración.
- El atacante se conecta a la red de configuración del dispositivo y solicita la información del dispositivo (nombre, certificado, ID de nube).
- El atacante se conecta a Internet y utiliza la información del dispositivo obtenida para vincular su cuenta al dispositivo de la víctima.
- El atacante ahora puede espiar a la víctima a través de su Google Home por medio de Internet (ya no es necesario estar cerca del dispositivo).
El investigador publicó en GitHub tres PoC para las acciones anteriores. Sin embargo, estos no deberían funcionar en los dispositivos de Google Home que ejecutan la última versión de firmware.
Los PoCs van un paso más allá de simplemente plantar a un usuario malicioso y permiten espiar por el micrófono, realizar solicitudes HTTP arbitrarias en la red de la víctima y leer/escribir archivos arbitrarios en el dispositivo.
Posibles implicaciones
Tener una cuenta no autorizada vinculada al dispositivo de destino permite realizar acciones a través del altavoz Google Home. Por ejemplo, controlar interruptores inteligentes, realizar compras en línea, desbloquear puertas y vehículos de forma remota o forzar bruscamente el PIN del usuario de cerraduras inteligentes.
Lo que es más preocupante, el investigador encontró una manera de abusar del comando “llamar [número de teléfono]” al agregarlo a una rutina maliciosa que activaría el micrófono en un momento específico, llamando al número del atacante y capturando el audio del micrófono en vivo.
Durante la llamada, el LED del dispositivo se vuelve azul, que es la única indicación de que se está realizando alguna actividad. Si la víctima lo nota, puede suponer que el dispositivo está actualizando su firmware. El indicador de activación del micrófono estándar es un LED intermitente, lo que no sucede durante las llamadas.
Finalmente, también es posible reproducir archivos multimedia en el altavoz inteligente comprometido cambiarle el nombre y forzar un reinicio. Además, puede forzarse a olvidar las redes Wi-Fi almacenadas, forzar nuevos emparejamientos de Bluetooth o Wi-Fi, y más.
Correcciones de Google
El analista descubrió los problemas en enero de 2021 y envió detalles adicionales y pruebas de concepto en marzo de 2021. Google solucionó todos los problemas en abril de 2021.
El parche incluye un nuevo sistema basado en invitaciones para manejar los enlaces de cuentas, que bloquea cualquier intento no agregado en Home.
Aún es posible anular la autenticación de Google Home, pero esto no se puede usar para vincular una nueva cuenta, por lo que la API local que filtró los datos básicos del dispositivo tampoco es accesible.
En cuanto al comando “llamar a [número de teléfono]”, Google ha agregado una protección para evitar su inicio remoto a través de rutinas.
Vale la pena señalar que Google Home se lanzó en 2016, las rutinas programadas se agregaron en 2018 y el Local Home SDK se introdujo en 2020. En otras palabras, un atacante que encontrara el problema antes de abril de 2021 habría tenido mucho tiempo para aprovecharlo.