Недостаток в колонке Google Home позволяет злоумышленнику удаленно подслушивать разговоры пользователя. Исследователь безопасности Мэтт Кунце сообщил о проблеме в Google и получил вознаграждение в размере $107 500.
Согласно техническому описанию проблемы , киберпреступник может удаленно установить свой аккаунт на устройство в пределах зоны беспроводной сети. Затем хакер может удаленно отправлять колонке команды через Интернет, получать доступ к микрофону и делать произвольные HTTP-запросы в локальной сети жертвы. Более того, злоумышленник потенциально может получить доступ к паролю Wi-Fi жертвы и получить доступ к другим устройствам в той же сети.
Чтобы прослушивать разговор жертвы, хакер должен заставить пользователя установить вредоносное приложение для Android, которое позволит связать учетную запись киберпреступника с целевым устройством. Атака позволила удаленно изменить громкость устройства, совершить телефонный звонок и подслушать жертву с помощью микрофона в динамике Google Home.
В этой атаке примечательно то, что жертва может даже не подозревать о взломе, поскольку единственным индикатором компрометации будет синий светодиод, который будет загораться во время разговора по телефону. По словам Кунца, жертва, скорее всего, подумает, что устройство обновляется или выполняет другую стандартную задачу.