کمیته رکن چهارم - آسیبپذیری امنیتی کشفشده در بلندگوی هوشمند Google Home امکان استراقسمع از راهدور مکالمات کاربران را دراختیار هکرها قرار میدهد.
مت کانزه، محقق امنیتی در ژانویهی ۲۰۲۱ پساز آزمایش Nest Mini خود از مشکل امنیتی آن مطلع شد. وی دریافت هکرها میتوانند با اضافهشدن یک حساب غیرمجاز به برنامه Home، دستگاه را با API از راهدور کنترل کنند.
کانزه، دریافت هکر برای انجام اینکار بهنام دستگاه، گواهینامه و شناسه ابری API محلی نیاز دارد. شخص مهاجم با دردست داشتن تمام این موارد میتواند درخواست پیوند به دستگاه را از طریق سرور گوگل ارسال کند و پس از ورود به دستگاه بهعنوان یک کاربر، هکرها با چندین سناریو مواجه خواهند شد.
سناریوهایی که کانزه کشف کرده است شامل توانایی هکر برای جاسوسی از مردم است. آنها همچنین میتوانند درخواستهای HTTP را به شبکهی شما ارسال کرده یا حتی فایلهایی را روی دستگاهها بخوانند یا بنویسند.
هکرها ازطریق باگ گوگل Home میتوانند فرمان تماس را از راهدور فعال کرده و بدینترتیب هرزمان که با گوشی خود تماس بگیرید، به مکالمههای شما در محیط خانه گوش دهند. کانزه در ویدیویی چند Nest Mini بهرنگ آبی را نمایش داد که روی آنها تماسی درحال انجام است؛ بااینحال، امکان دارد هرکسی که در خانه حضور دارد به این موضوع توجهی نداشته باشد.
علاوهبراین، هکر توانایی کنترل سوئیچهای خانه هوشمند، انجام تراکنشهای آنلاین، بازکردن قفل درهای خانه و خودرو و حتی استفاده از پینهای مورداستفاده برای قفلهای هوشمند را بهدست میآورد.
نقص امنیتی در دستگاههای امنیتی به هکرها اجازه میدهد ازطریق حسگرهای دستگاه، مواردی مثل هویت و جنسیت افراد را شناسایی کنند.
کانزه درطول تجزیهوتحلیل خود درمورد اینکه چگونه آسیبپذیری گوگل Home را کشف کرده است اعلام کرد اگر آخرین نسخهی سیستمعامل را اجرا کنید، از این باگها در امان خواهید بود زیرا او آسیبپذیری مذکور را در سال ۲۰۲۱ به گوگل گزارش داد و غول جستجوی اینترنت در آوریل همان سال، مشکلات را برطرف کرد. این محقق همچنین مبلغ درخورتوجه ۱۰۷۵۰۰ دلار بهعنوان پاداش یافتن نقص امنیتی مهم و گزارش دقیق آن، دریافت کرد.
کانزه اظهارداشت گوگل قابلیت فعالکردن فرمان تماس از راهدور ازطریق روش مورداستفادهی هکرها را غیرفعال کرد. علاوهبراین بهمنظور افزایش امنیت، دستگاههای خانهی هوشمند گوگل با نمایشگرهایی مثل Nest Hub Max، با رمزعبور WPA۲ محافظت میشود. این رمز ازطریق کد QR رو نمایشگر نشان داده میشود.