Als u een Google Home-apparaat heeft maar zich zorgen maakt over de microfoons die altijd aan staan, zijn uw zorgen terecht.
Het hebben van een altijd luisterend apparaat in huis is tegenwoordig een vrij normaal verschijnsel, vooral met de toename van Amazons Echo-apparaten en de Google Home-serie. Hoewel het ongelooflijk nuttige stukjes technologie zijn, zijn ze niet zonder zorgen over de privacy. Ze hebben altijd actieve microfoons en een internetverbinding, wat voor sommige mensen een te grote inbreuk op de privacy is om thuis te zijn. Beveiligingsonderzoeker Matt Kunze heeft bewezen dat deze angsten wellicht terecht zijn, aangezien hij erin slaagde zijn Google Home Mini om te zetten in wat in wezen kan worden omschreven als een telefoontap.
Hoewel deze kwetsbaarheid werd ontdekt en getest op een Google Home Mini, zegt Kunze dat hij ervan uitgaat dat de aanval op dezelfde manier werkte op andere slimme luidsprekermodellen van Google.
Reverse-engineering van de Google Home Mini
Een POST-verzoek aan een /deviceuserlinksbatch-eindpunt, zoals geïdentificeerd via mitmproxy.
Door een account aan een Google Home-apparaat te koppelen, heb je er veel controle over, waarbij de ‘Routines’ van het apparaat opdrachten op afstand kunnen uitvoeren. Routines zijn nuttig voor het vooraf definiëren van functionaliteit op basis van specifieke omstandigheden, maar ze kunnen worden misbruikt als iemand op afstand toegang tot het apparaat kan krijgen en het kan bedienen. Een voorbeeld van een routine zou zijn: 'Hey Google, goedemorgen', waarna je lichten aangaan en je het weer voor die dag wordt verteld.
Kunze ging op onderzoek uit of het voor een aanvaller mogelijk was om zijn eigen Google-account aan iemands Google Home te koppelen. Dit zou hem in wezen in staat stellen gebruik te maken van de controle die wordt gegeven door een account aan een apparaat te koppelen, en te worden gebruikt om op afstand opdrachten uit te voeren op iemands netwerk.
Gebruik maken van tools zoals man-in-the-middle proxy (mitmproxy) En Frida, kon hij het verkeer observeren tussen de Google Home-applicatie op een smartphone en het Google Home-apparaat. Van daaruit ontdekte hij dat je een Google-account aan het apparaat kon koppelen door de informatie via een lokale API op te halen en vervolgens een verzoek naar de servers van Google te sturen met informatie om het te koppelen. Kunze schreef een Python-script dat Google-inloggegevens en een IP-adres gebruikt en vervolgens het Google-account koppelt aan het apparaat op het opgegeven IP-adres.
Zodra hij controle had over het gegeven apparaat, kon hij elke routine creëren en deze activeren op een gekoppeld apparaat. Je kunt de Assistent oproepen om een telefoonnummer te bellen, wat hij op elk moment kon doen. Om de aanval zo onopvallend mogelijk te maken, heeft Kunze ook de "nachtmodus" ingeschakeld, die het maximale volume en de LED-helderheid verlaagt. Het muziekvolume wordt geheel onaangetast, waardoor de gebruiker het minder snel zal merken.
Het wordt echter nog erger, omdat je niet eens op hetzelfde Wi-Fi-netwerk hoeft te zitten om deze aanval te laten werken: je hebt alleen maar de nabijheid van het apparaat nodig. Als u deauthenticatiepakketten naar een Google Home-apparaat verzendt, denkt het dat het netwerk is uitgevallen en creëert een Wi-Fi-netwerk zodat u er opnieuw verbinding mee kunt maken en het opnieuw kunt configureren voor een nieuwe Wi-Fi netwerk. Deauthenticatieframes (die een soort beheerframe zijn) kunnen worden verzonden door het IP-adres op te snuiven en zijn moeilijk te beschermen tegen, omdat WPA2-netwerken geen beheerframes coderen.
Echter, op dezelfde manier waarop je de lokale API van het Google Home-apparaat kunt misbruiken en aan een Google kunt koppelen account door op hetzelfde Wi-Fi-netwerk te zitten, u kunt hetzelfde doen zodra u er verbinding mee maakt tijdens de installatie modus.
Op afstand luisteren naar de microfoon van de Google Home
Kunze schreef en testte een gedetailleerd proof-of-concept van hoe een Google Home Mini kon worden gebruikt om iemand te bespioneren.
- Maak een 'aanvaller'-Google-account.
- Kom draadloos in de buurt van de Google Home.
- Begin met het verzenden van deauthenticatiepakketten naar Google Home.
- Maak verbinding met het installatienetwerk van Google Home.
- Voer het Python-script uit om het apparaat te koppelen aan het Google-account van de aanvaller.
- Stop met het verzenden van deauthenticatiepakketten en wacht tot het apparaat verbinding heeft gemaakt met internet.
- U kunt nu opdrachten uitvoeren op het Google Home-apparaat, waaronder uw telefoonnummer laten bellen.
Een aanvaller kan het apparaat ook willekeurige HTTP-verzoeken laten verzenden binnen het netwerk van de eigenaar. Dit vergroot het aanvalsoppervlak omdat een aanvaller kan proberen te communiceren met andere apparaten op het netwerk, inclusief de router.
Google heeft het probleem opgelost
Aan de positieve kant: nadat Kunze dit op 8 januari 2021 had gemeld, heeft Google het uiteindelijk opgelost. Je kunt een account niet meer koppelen aan een Google Home-apparaat zonder een uitnodiging van het account dat er al aan gekoppeld is, en je kunt een telefoonnummer niet meer op afstand bellen via een routine. Op apparaten met een beeldscherm wordt het netwerk dat het apparaat voor de configuratie maakt, bovendien beschermd door WPA2 en is er een wachtwoord vereist om verbinding te maken.
Hoewel deze kwetsbaarheid nu pas openbaar wordt gemaakt, is het niet onmogelijk dat iemand anders deze heeft ontdekt en er zelf misbruik van heeft gemaakt. Als je je zorgen maakt over apparaten die altijd luisteren, dan is dit zeker een rechtvaardiging daarvoor. Zelfs als dit Als een bepaald probleem is opgelost, wil dat niet zeggen dat er in de toekomst geen kwetsbaarheden meer zullen zijn.
Bron: Matt Kunze