Google pagó $ 100,000 de recompensa por errores por vulnerabilidades de Smart Speaker, dice un investigador

El investigador de seguridad Matt Kunze dice que Google le pagó una recompensa por errores de $ 107,500 por informar de manera responsable las vulnerabilidades en el altavoz inteligente Google Home Mini.

Según el investigador, los problemas podrían ser utilizados por un atacante en proximidad inalámbrica para crear una cuenta falsa en el dispositivo y luego realizar varias acciones.

Según Kunze, un atacante podría usar la cuenta para enviar comandos remotos al dispositivo a través de Internet, acceder al micrófono y realizar solicitudes HTTP arbitrarias en la red local, exponiendo potencialmente las contraseñas de Wi-Fi o accediendo a otros dispositivos directamente.

Los parlantes inteligentes de Google Home, que ofrecen soporte para comandos de voz, se pueden emparejar con dispositivos Android usando la aplicación Google Home, que permite a los usuarios vincular sus cuentas al dispositivo y emitir varios comandos llamados “rutinas”.

“Efectivamente, los mods permiten que cualquier persona con una cuenta asociada con el dispositivo envíe comandos remotos. Además del control remoto sobre el dispositivo, la cuenta asociada también le permite instalar “acciones” (pequeñas aplicaciones), señala Kunze.

Un joven investigador descubrió que un atacante podía vincular una cuenta a un altavoz inteligente sin la aplicación Google Home al interferir con el proceso de conexión.

Para hacer esto, interceptó las solicitudes HTTP intercambiadas durante la vinculación de la cuenta y descubrió que principalmente implicaba obtener la información del dispositivo (nombre del dispositivo, certificado e ID de la nube) a través de una API nativa y luego enviar una solicitud de vinculación con la información del dispositivo a los servidores de Google. .

Kunze dice que pudo reemplazar cadenas en la carga útil de la solicitud de enlace con cadenas maliciosas, creando así una cuenta de “puerta trasera” en el dispositivo.

Luego, el investigador creó una secuencia de comandos de Python para recrear el proceso de emparejamiento sin la aplicación Google Home y crear la carga útil necesaria para obtener el control del altavoz inteligente.

“Poniéndolo todo junto, tengo un script de Python que toma las credenciales de Google y una dirección IP y usa la IP proporcionada para asociar su cuenta con un dispositivo de Google Home”, señala Kunze.

Un atacante que explote este problema podría hacer esto Crear malware para ejecutar comandos de voz ‘en el dispositivo remoto, incluida la llamada [phone number]El comando ‘ se puede activar en horas, minutos y segundos exactos.

“Puede usar este comando de manera efectiva para comenzar a enviar datos desde la cinta del micrófono al dispositivo”, señala el investigador.

Un posible escenario de ataque, dice Kunze, es cuando un usuario instala la aplicación de un atacante que puede detectar un dispositivo Google Home y realizar dos solicitudes HTTP que vinculan la cuenta del atacante con el dispositivo.

El investigador también descubrió que si Google Home Mini se desconecta de la red local, entrará en “modo de configuración”, creando su propia red para conectarse con su propietario.

Un atacante en el rango inalámbrico que no conoce la contraseña de Wi-Fi de la víctima puede descubrir un dispositivo Google Home al espiar las direcciones MAC, enviar paquetes de eliminación para desconectar el dispositivo de la red y luego conectarse a la propia red del dispositivo para solicitar información sobre el dispositivo.

El investigador dice que el atacante puede usar la información obtenida para conectar su cuenta al dispositivo a través de Internet.

Kunze también descubrió que un atacante podría abusar de la funcionalidad que Google proporcionó a los desarrolladores para iniciar un WebSocket en localhost y luego enviar solicitudes HTTP arbitrarias a otros dispositivos en la LAN de la víctima.

El investigador publicó un código de prueba de concepto (PoC) que demuestra cómo un atacante podría usar estos problemas para espiar a las víctimas, realizar solicitudes HTTP arbitrarias en la red de la víctima e incluso leer o escribir archivos arbitrarios en un dispositivo conectado.

Google ha abordado los errores informados al negar los permisos para vincular cuentas que no se agregan a la página de inicio y que ya no permiten “llamar”, dice el investigador. [phone number]Los comandos se ejecutarán de forma remota a través de rutinas.

Si bien aún es posible rootear un dispositivo Google Home, el “modo de configuración” ya no admite la vinculación de cuentas. También se han agregado otras protecciones a los parlantes inteligentes.

Kunze dice que primero informó los problemas a Google en enero de 2021, cuando el gigante de Internet dijo que el comportamiento era intencionado. Los informes de errores se reabrieron en marzo de 2021 después de que se envió información adicional y la recompensa se pagó en abril.

Google premió al investigador un mes después, en mayo de 2022 aumento de las primas sugerido para vulnerabilidades en dispositivos Nest y Fitbit.

“Si bien los problemas que descubrí pueden parecer obvios en retrospectiva, creo que en realidad fueron bastante sutiles. En lugar de realizar una solicitud de API nativa para administrar un dispositivo, realiza una solicitud de API nativa para recuperar información del dispositivo aparentemente inocua y usar esa información junto con las API de la nube para administrar el dispositivo”, concluye Kunze.

Relacionado: Google paga más de $ 50,000 por las vulnerabilidades parcheadas de Chrome 107

Relacionado: Una falla crítica en el chip Titan M de Google ha ganado a los investigadores $ 75,000

Relacionado: Google ofrece una recompensa de $ 91,000 para Linux Kernel, GKE Zero-Days