Un fallo en el altavoz inteligente Google Home permitía instalar una cuenta de puerta trasera que podía utilizarse para controlarlo a distancia y convertirlo en un dispositivo de espionaje accediendo a la alimentación del micrófono.
Un investigador descubrió el problema y recibió 107.500 dólares por informar responsablemente a Google el año pasado. A principios de esta semana, el investigador publicó detalles técnicos sobre el hallazgo y un escenario de ataque para mostrar cómo podía aprovecharse el fallo.
Proceso de compromiso
Mientras experimentaba con su propio mini altavoz Google Home, el investigador descubrió que las nuevas cuentas añadidas mediante la aplicación Google Home podían enviarle comandos de forma remota a través de la API en la nube.
Utilizando un escaneo Nmap, el investigador encontró el puerto para la API HTTP local de Google Home, por lo que configuró un proxy para capturar el tráfico HTTPS cifrado, con la esperanza de arrebatar el token de autorización del usuario.
El investigador descubrió que añadir un nuevo usuario al dispositivo de destino es un proceso de dos pasos que requiere el nombre del dispositivo, el certificado y el “ID de nube” de su API local. Con esta información, podían enviar una solicitud de enlace al servidor de Google.
Para añadir un usuario fraudulento a un dispositivo Google Home, el analista implementó el proceso de enlace en un script Python que automatizaba la exfiltración de los datos del dispositivo local y reproducía la solicitud de enlace.
El ataque se resume en el blog del investigador de la siguiente manera:
El atacante desea espiar a la víctima dentro de la proximidad inalámbrica del Google Home (pero NO tiene la contraseña Wi-Fi de la víctima).
El atacante descubre el Google Home de la víctima escuchando direcciones MAC con prefijos asociados a Google Inc. (por ejemplo, E4:F0:42).
El atacante envía paquetes deauth para desconectar el dispositivo de su red y hacerlo entrar en modo de configuración.
El atacante se conecta a la red de configuración del dispositivo y solicita su información (nombre, cert, ID de nube).
El atacante se conecta a Internet y utiliza la información del dispositivo obtenida para vincular su cuenta al dispositivo de la víctima.
El atacante puede ahora espiar a la víctima a través de su Google Home en Internet (ya no es necesario estar cerca del dispositivo).
El investigador publicó en GitHub tres PoCs para las acciones anteriores. Sin embargo, no deberían funcionar en dispositivos Google Home con la última versión de firmware.
Los PoC llevan las cosas un paso más allá de simplemente plantar un usuario falso y permiten espiar a través del micrófono, hacer peticiones HTTP arbitrarias en la red de la víctima y leer/escribir archivos arbitrarios en el dispositivo.
Posibles implicaciones
Tener una cuenta fraudulenta vinculada al dispositivo de destino permite realizar acciones a través del altavoz Google Home, como controlar interruptores inteligentes, realizar compras en línea, desbloquear puertas y vehículos de forma remota o forzar sigilosamente el PIN del usuario para cerraduras inteligentes.
Y lo que es más preocupante, el investigador encontró una forma de abusar del comando “llamar a [número de teléfono]” añadiéndolo a una rutina maliciosa que activaría el micrófono a una hora determinada, llamando al número del atacante y enviando la señal del micrófono en directo.
Durante la llamada, el LED del dispositivo se pondría azul, que es la única indicación de que se está produciendo alguna actividad. Si la víctima lo nota, puede suponer que el dispositivo está actualizando su firmware. El indicador estándar de activación del micrófono es un LED que parpadea, lo que no ocurre durante las llamadas.
Por último, también es posible reproducir archivos multimedia en el altavoz inteligente comprometido, cambiarle el nombre, forzar un reinicio, obligarlo a olvidar redes Wi-Fi almacenadas, forzar nuevos emparejamientos Bluetooth o Wi-Fi, etc.
Soluciones de Google
El analista descubrió los problemas en enero de 2021 y envió detalles adicionales y PoCs en marzo de 2021. Google solucionó todos los problemas en abril de 2021.
El parche incluye un nuevo sistema basado en invitaciones para gestionar los enlaces a cuentas, que bloquea cualquier intento no añadido en Inicio.
La desautenticación de Google Home sigue siendo posible, pero esto no se puede utilizar para vincular una nueva cuenta, por lo que la API local que filtró los datos básicos del dispositivo también es inaccesible.
En cuanto al comando “llamar a [número de teléfono]”, Google ha añadido una protección para evitar su iniciación remota a través de rutinas.
Cabe destacar que Google Home se lanzó en 2016, las rutinas programadas se añadieron en 2018 y el SDK de Local Home se introdujo en 2020, por lo que un atacante que encontrara el problema antes de abril de 2021 habría tenido tiempo de sobra para aprovecharse.
Fuente: thehackernews.com
