一名研究人员发现了一个安全漏洞,该漏洞允许恶意黑客破坏 Google Home 扬声器的安全,从而将其用作间谍活动的手段。一个重大的软件缺陷已被这家美国公司纠正。
黑客在寻找漏洞、获取私人数据或控制某些设备方面表现出了无与伦比的创造力。这一次,Google Home 连接的扬声器很容易受到恶意者的攻击。特别是,可以访问扬声器麦克风来监视对话。
丰厚的奖励
发现此安全漏洞的研究人员于 2021 年 1 月向谷歌报告。这家美国公司奖励他 107,500 美元,奖励他的发现。谷歌于 2021 年 4 月修复了该缺陷的所有问题,但有关黑客攻击过程的详细信息直到本周才被分享。
这位研究人员调查了他自己的谷歌家庭迷你(自从更名巢迷你)。他发现新的用户帐户添加自l'应用程序Google Home能够从云中的 API 远程发送命令。
然后,他意识到可以使用三个元素向目标设备添加新用户,从而控制它:设备名称、证书和本地 API 的云标识符。足以向 Google 服务器发送链接请求,以在 Google Home 设备上添加(恶意)用户帐户。
几乎完全控制
一旦连接到目标设备,黑客就可以通过 Google Home 扬声器执行相当数量的操作。事实上,扬声器可以让您在家里执行各种命令。从远程解锁联网锁到在线购买或关闭百叶窗,这个小配件可以“控制”您的联网家庭。
研究人员还找到了一种滥用“呼叫[电话号码]”命令的方法,将其添加到例程中。然后,后者能够在向黑客号码发起呼叫的同时激活麦克风,从而使黑客可以实时收听对话。黑客还可以擦除设备上存储的 Wi-Fi 网络、强制蓝牙配对或重新启动扬声器。
用户了解活动是否正在进行的唯一方法是设备 LED 的蓝色显示。当麦克风激活时,该灯闪烁。
此后,谷歌进行的各种更新弥补了这些缺陷。不幸的是,自 2018 年计划启动以来,它们就一直被利用。我们更好地了解了某些连接的扬声器上使麦克风静音的物理按钮的用途......
Google Nest mini 以最优惠的价格 基本价格: 39 欧元
查看更多优惠
来源 : 电脑发出蜂鸣声
