Jak widać, programy bug bounty się opłacają. Właśnie za pomocą takiej inicjatywy, Google dowiedziało się o błędzie w głośniku Google Home, który pozwalał na umieszczenie w urządzeniu konta - backdoora, które mogło zostać użyte do przekształcenia urządzenia inteligentnego domu w zdalny podsłuch.
Ile według Google był warty ten błąd? Okazuje się, że całkiem sporo, bo 107 500 dolarów. Zgłoszenie podatności nastąpiło w zeszłym roku, jednak dowiadujemy się o tym dopiero teraz ze względów bezpieczeństwa urządzeń, których podatność dotyczyła. Informacje o tym, co poszło nie tak, pojawiły się u Matta Kunze, który odkrył możliwość zaatakowania głośników. Ujawniono również potencjalny scenariusz ataku i możliwości, jakie za sobą niesie.
W trakcie eksperymentów z głośnikiem Google Home Mini, Kunze odkrył że nowe konta dodane w aplikacji Google Home mogły zdalnie wysyłać polecenia do głośnika wykorzystując API w chmurze. Dalej, wykorzystując skanowanie Nmap, znalazł port dla lokalnego API HTTP Google Home i skonfigurował ustawienia proxy tak, aby przechwycić zaszyfrowany ruch po HTTPS - oczekując, że znajdzie tam token autoryzacji użytkownika. Dodanie nowego użytkownika polega na tym, że wymieniane są takie informacje jak nazwa urządzenia, certyfikat oraz identyfikator z lokalnego API. Mając te dane i wykorzystując odpowiedni skrypt w Pythonie, możliwe było odtworzenie żądania łączenia.
Matt Kunze opublikował również dowody działania tego błędu - między innymi udało się przechwycić mikrofon do podsłuchiwania potencjalnej ofiary, wykonywać żądania HTTP w sieci ofiary, czy nawet zapisywanie lub odczytywanie plików na urządzeniu. Stąd już tylko krok od kontrolowania żarówek użytkownika, wykonywania zakupów, zdalne odblokowywanie drzwi i wiele, wiele innych.
Szczegóły oraz PoC zostały przesłane w ramach programu bug bounty Google w marcu 2021 roku. W kwietniu Google miało już łatkę, którą rozesłało do urządzeń Google Home. Nowe sprzęty posiadające już najnowsze wersje firmware'u nie są podatne na tego typu ataki. Aby dokonać przejęcia głośnika, najpierw należy być w jego bliskim zasięgu (nie jest wymagane posiadanie hasła do sieci WiFi ofiary), co generalnie zwiększa niebezpieczeństwo narażenia na taki atak.
Google załatało zarówno proces dodawania nowych kont, jak i komendy typu "call", aby nie było możliwe ich zdalne wywołanie. Jak widać, programy typu bug bounty naprawdę się opłacają - zarówno osobom zajmującym się bezpieczeństwem cybernetycznym jak i firmom, które produkują takie urządzenia. Google uzyskało dostęp do informacji o bardzo poważnej luce bez ryzyka narażania użytkowników. Nie ma żadnych dowodów na to, że ktokolwiek wykorzystał tę podatność do zaatakowania jakiegokolwiek użytkownika ale należy założyć, że prędzej czy później ktoś by na taki pomysł wpadł.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
