Los parlantes inteligentes se han convertido en una adición popular a muchos hogares, ya que ofrecen un cómodo control manos libres de dispositivos inteligentes y acceso a una variedad de funciones, como transmisión de música y asistentes de voz. Sin embargo, en enero del 2021, el investigador de seguridad Matt Kunze descubrió una vulnerabilidad crítica en los altavoces de Google Home que permitía a los piratas informáticos acceder a los hogares de los usuarios sin su conocimiento.
Los piratas informáticos podían iniciar llamadas telefónicas a través del altavoz de Google Home
Kunze descubrió que Google La vulnerabilidad de seguridad del hogar permitió a los actores de amenazas agregar una cuenta”rogue”a través de la aplicación Home y controlar el dispositivo de forma remota a través de la API de la nube al obtener el nombre del dispositivo, el certificado y la”ID de la nube”de la API local. Una vez que tuvieran esta información, el pirata informático podría enviar una solicitud de enlace para el dispositivo a través del servidor de Google y obtener acceso al dispositivo como si fuera un usuario deshonesto.
Esto permitió a los piratas informáticos espiar a los usuarios, hacer HTTP solicitudes en su red, leer y escribir archivos en el dispositivo e incluso activar de forma remota el comando de llamada del altavoz inteligente, lo que permite que el dispositivo llame al teléfono del pirata informático y escuche las conversaciones que tienen lugar en el hogar. Además, los piratas informáticos también podrían controlar los interruptores de la casa inteligente del usuario, realizar transacciones en línea, desbloquear las puertas de la casa y del vehículo del usuario e incluso aprovechar el PIN del usuario utilizado para las cerraduras inteligentes.
Google corrige el problema y fortalece las medidas de seguridad
Afortunadamente, Kunze informó el problema a Google en marzo de 2021 y, desde entonces, la empresa solucionó la vulnerabilidad y pagó más de 100 000 dólares por el informe. Ya no es posible agregar una cuenta a un altavoz de Google Home de forma remota. Google también ha desactivado la posibilidad de activar un comando de llamada de forma remota a través de una rutina.
Las pantallas inteligentes de Google, por otro lado, ahora ofrecen un proceso de configuración más seguro gracias al uso de un código QR que se puede protegido con WPA2. Esto significa que un atacante necesitaría acceso físico al dispositivo para conectar su cuenta.
A pesar del ataque, Kunze afirmó que los dispositivos Nest y Home son generalmente muy seguros y no ofrecen muchos vectores de ataque. Dijo que las vulnerabilidades que descubrió eran sutiles y que lo más que podía hacer un atacante era cambiar algunas configuraciones básicas.
