سوء استفاده هکرها از آسیب‌پذیری امنیتی اسپیکر گوگل هوم

کمیته رکن چهارم -‌ آسیب‌پذیری امنیتی کشف‌شده در بلندگوی هوشمند Google Home امکان استراق‌سمع از راه‌دور مکالمات کاربران را دراختیار هکرها قرار می‌دهد.

مشکل امنیتی بسیار مهم در اسپیکر هوشمند گوگل Home به هکرها اجازه می‌دهد بدون اطلاع کاربران، به خانه‌های آن‌ها نفوذ کنند.

مت کانزه، محقق امنیتی در ژانویه‌ی ۲۰۲۱ پس‌از آزمایش Nest Mini خود از مشکل امنیتی آن مطلع شد. وی دریافت هکرها می‌توانند با اضافه‌شدن یک حساب غیرمجاز به برنامه Home، دستگاه را با API از راه‌دور کنترل کنند.

کانزه، دریافت هکر برای انجام این‌کار به‌نام دستگاه، گواهینامه و شناسه ابری API محلی نیاز دارد. شخص مهاجم با دردست داشتن تمام این موارد می‌تواند درخواست پیوند به دستگاه را از طریق سرور گوگل ارسال کند و پس از ورود به دستگاه به‌عنوان یک کاربر، هکرها با چندین سناریو مواجه خواهند شد.

سناریوهایی که کانزه کشف کرده است شامل توانایی هکر برای جاسوسی از مردم است. آن‌ها همچنین می‌توانند درخواست‌های HTTP را به شبکه‌ی شما ارسال کرده یا حتی فایل‌هایی را روی دستگاه‌ها بخوانند یا بنویسند.

هکرها ازطریق باگ گوگل Home می‌توانند فرمان تماس را از راه‌دور فعال کرده و بدین‌ترتیب هرزمان که با گوشی خود تماس بگیرید، به مکالمه‌های شما در محیط خانه گوش دهند. کانزه در ویدیویی چند Nest Mini به‌رنگ آبی را نمایش داد که روی آن‌ها تماسی درحال انجام است؛ بااین‌حال، امکان دارد هرکسی که در خانه حضور دارد به این موضوع توجهی نداشته باشد.

علاوه‌براین، هکر توانایی کنترل سوئیچ‌های خانه هوشمند، انجام تراکنش‌های آنلاین، بازکردن قفل درهای خانه و خودرو و حتی استفاده از پین‌های مورداستفاده برای قفل‌های هوشمند را به‌دست می‌آورد.

نقص امنیتی در دستگاه‌های امنیتی به هکرها اجازه می‌دهد ازطریق حسگرهای دستگاه، مواردی مثل هویت و جنسیت افراد را شناسایی کنند.

کانزه درطول تجزیه‌وتحلیل خود درمورد این‌که چگونه آسیب‌پذیری گوگل Home را کشف کرده است اعلام کرد اگر آخرین نسخه‌ی سیستم‌عامل را اجرا کنید، از این باگ‌ها در امان خواهید بود زیرا او آسیب‌پذیری مذکور را در سال ۲۰۲۱ به گوگل گزارش داد و غول جستجوی اینترنت در آوریل همان سال، مشکلات را برطرف کرد. این محقق همچنین مبلغ درخورتوجه ۱۰۷۵۰۰ دلار به‌عنوان پاداش یافتن نقص امنیتی مهم و گزارش دقیق آن، دریافت کرد.

کانزه اظهارداشت گوگل قابلیت فعال‌کردن فرمان تماس از راه‌دور ازطریق روش مورداستفاده‌ی هکرها را غیرفعال کرد. علاوه‌براین به‌منظور افزایش امنیت، دستگاه‌های خانه‌ی هوشمند گوگل با نمایشگرهایی مثل Nest Hub Max، با رمزعبور WPA۲ محافظت می‌شود. این رمز ازطریق کد QR رو نمایشگر نشان داده می‌شود.

منبع: زومیت

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Green Captcha Characters Below.