Imagínese si alguien estuviera escuchando conversaciones en su casa. Seguramente te sentirías vulnerable. Un investigador llamado Matt Kunze descubrió que los piratas informáticos pueden espiarte a ti y a tu familia a través de un altavoz inteligente de Google Home. De acuerdo a computadora pitido (a través de Central de Android), Kunze estaba jugando con un Nest Mini cuando descubrió que era posible crear una cuenta falsa o de “puerta trasera” con la aplicación Google Home. Esa cuenta podría usarse para controlar el altavoz inteligente al permitir que un mal actor acceda a la alimentación del micrófono y otras funciones del dispositivo de forma remota. Kunze recibió $ 107,500 de Google por descubrir esta vulnerabilidad que transformó Google Nest Mini de un altavoz inteligente a un dispositivo que puede espiar las conversaciones de los usuarios y más. La cuenta no autorizada se puede utilizar para controlar el altavoz inteligente enviándole comandos de forma remota a través de la API en la nube (interfaz de programación de aplicaciones). La API permite que dos o más programas informáticos se comuniquen.
La información necesaria para piratear el Nest Mini incluiría el nombre del dispositivo, el certificado y la ID de la nube. Con esta información, el atacante puede enviar una solicitud al servidor de Google solicitando un enlace al altavoz inteligente que permita que el dispositivo se use para realizar transacciones en línea, controlar electrodomésticos inteligentes, desbloquear la puerta principal y más. El atacante también podría hacer que el orador llame a su teléfono al permitirle escuchar una conversación que se lleva a cabo en la casa usando el micrófono del orador.
El investigador logró que esto sucediera creando una rutina maliciosa que incluía el archivo “call [phone number]”. Esto activó el micrófono en un momento específico, llamando al teléfono del atacante (como se mencionó en el párrafo anterior) permitiéndole escuchar a través del micrófono en el altavoz inteligente. Kunze grabó un video que muestra cómo el micrófono de Nest Mini puede enviar conversaciones a un teléfono inteligente, que en este caso estaría en posesión del atacante.
La configuración maliciosa que permite que el altavoz inteligente capture el audio del micrófono del altavoz
Kunze descubrió el problema en enero de 2021 y Google lo solucionó en abril de 2021. Cualquiera que use el firmware más reciente no debería preocuparse por este problema.