MiReal.me MiReal.me – Tu blog tecnológico con la más actualizada información
Lo que necesitas saber
- El investigador Matt Kunze descubrió que los piratas informáticos podrían haber estado espiando a las personas en sus hogares a través de los parlantes inteligentes de Google.
- Si se obtuvo acceso, una cuenta “falsa” podría escuchar sus conversaciones, controlar sus dispositivos y realizar compras en línea.
- El problema se informó en enero de 2021 y Google lo solucionó en abril del mismo año.
Un problema crítico dentro del altavoz de Google Home ha permitido que los oídos husmeen en los hogares de los usuarios sin su conocimiento.
Investigador Matt Kunze descubierto los problemas en enero de 2021 después de experimentar con su Nest Mini (a través de computadora que juega). Se descubrió que se podía agregar una nueva cuenta “rogue” a través de la aplicación Home y permitiría al pirata informático controlar el dispositivo de forma remota a través de la API en la nube.
Kunze descubrió que para hacer esto, el hacker necesitaría el nombre del dispositivo, el certificado y la “ID de la nube” de la API local. Con todo esto en la mano, un pirata informático podría enviar una solicitud de enlace a su dispositivo a través del servidor de Google. Después de ingresar al dispositivo como un usuario deshonesto, Kunze reveló varios escenarios que podrían ocurrir si un pirata informático hiciera esto en el dispositivo de una persona desprevenida en casa.
Los escenarios encontrados por el investigador Kunze incluyen la capacidad del pirata informático para espiar a las personas de manera desconcertante, pero también podrían realizar solicitudes HTTP a través de su red o incluso leer/escribir archivos en el dispositivo.
Si eso no fuera suficiente, un pirata informático podría activar de forma remota el comando de llamada del altavoz inteligente, lo que permite que su dispositivo llame a su teléfono en cualquier momento y escuche las conversaciones que tienen lugar en su hogar. En el video de demostración de Kunze, las cuatro luces del Nest Mini brillan en azul, lo que indica que hay una llamada en curso. Sin embargo, cualquiera que simplemente pase por ahí en casa puede no prestar atención a esto o no atribuirlo a una llamada a un lugar.
Además, el pirata informático obtendría la capacidad de controlar los interruptores de su hogar inteligente, realizar transacciones en línea, desbloquear las puertas de su hogar y de su vehículo, e incluso explotar el PIN utilizado para las cerraduras inteligentes.
Kunze dijo durante su interrupción sobre cómo encontró esta vulnerabilidad frustrante que nada de esto debería ser posible si está ejecutando el firmware más reciente. Eso se debe a que cuando lo informaron a Google en 2021, la empresa solucionó los problemas en abril de ese año. El investigador también recibió $107,500 en compensación por encontrar la falla crítica y reportarla en detalle.
El investigador dijo que las soluciones de Google incluyen solicitar una invitación a la “Inicio” donde está registrado el dispositivo para vincularlo a su cuenta. Además, Google ha desactivado la capacidad de activar un comando de llamada de forma remota a través de una rutina. Para fortalecer aún más su seguridad, los dispositivos domésticos inteligentes de Google con pantallas, como Nest Hub Max, están protegidos por una contraseña WPA2 que se muestra a través de un código QR en la pantalla.
