Jak można było zamienić inteligentne głośniki Google w maszynkę do podsłuchiwania? (bez znajomości haseł…)

Rozbudowany opis całej historii znajdziecie tutaj (Google wypłacił przeszło $100 000 za zgłoszenie podatności…).

W skrócie wyglądało to w taki sposób:

• Całość testowana była na Google Home Mini
• Atakujący musiał być w zasięgu sieci WiFi ofiary (ale nie znał hasła)
• Lokalizował odpowiednie urządzenie skanując komunikację na radiu (MAC adresy rozpoczynające się od: E4:F0:42)
• Wykonywał deauth głośnika (tak, w sieciach WPA2 można to zrobić bez znajomości hasła)

aireplay-ng --deauth 0 -a [router BSSID] -c [device MAC address] [interface]

• Teraz urządzenie widzi, że coś jest nie tak z dostępem do sieci, więc automatem wystawia swoją sieć, WiFi do której atakujący może się podłączyć:

The intended purpose is to allow the device’s owner to connect to this network from the Google Home app and reset the Wi-Fi settings (in the event that the password was changed, for example).

• Badacz przeanalizował API na urządzeniu i okazało się, że z poziomu tej „tymczasowej” sieci WiFi można sparować urządzenie z dowolnym kontem googlowym
• Co dalej? Dalej możemy np. uruchomić polecenie zadzwonienia z głośnika na dowolny numer GSM (w ten sposób otrzymujemy dostęp do mikrofonu, który znajduje się w pomieszczeniu ofiary)

Demo na filmiku tutaj. Google załatał wskazane podatności.

~ms