الريــم
12-30-2022, 10:57 PM
Un investigador ha descubierto con un 'script' desarrollado por Python un error en los altavoces de Google Home, que ofrec?a la posibilidad de instalar una cuenta de puerta trasera para controlar estos dispositivos en remoto y espiar las conversaciones de los usuarios.
Python es un lenguaje de programaci?n utilizado en buena parte de las aplicaciones web, el desarrollo de 'software', la ciencia de datos y el 'machine learning'. Es de descarga gratuita y se puede utilizar en todos los sistemas.
Un investigador llamado Matt Kunze ha anunciado que recientemente ha recibido una compensaci?n econ?mica de parte de Google por uno de sus ?ltimos hallazgos, centrado en los altavoces inteligentes de Google Home.
Concretamente, Kunze ha recibido 107.500 d?lares (unos 100.615 euros al cambio actual) por haber descubierto un error en estos dispositivos que permit?a la instalaci?n de una cuenta de puerta trasera y que los ciberdelincuentes podr?an haber aprovechado para controlarlos en remoto y espiar conversaciones de sus usuarios.
El investigador, que utiliz? un 'script' de Python para acceder al sistema de estos dispositivos, utiliz? para su experimento un Google Home Mini, aunque ha reconocido que este tipo de ataques ofrecieron los mismos resultados en otros modelos de la marca.
En primer lugar, Kunze ha insistido en que al comienzo de su investigaci?n not? "lo f?cil que era agregar nuevos usuarios al dispositivo desde la aplicaci?n Google Home", as? como vincular una cuenta al dispositivo, tal y como se puede leer en su blog.
Con ello, ha expuesto las distintas rutas por las que pueden optar los ciberdelincuentes para acceder a los altavoces desarrollados por Google. En primer lugar, comenta la opci?n de obtener el 'firmware' del dispositivo descarg?ndolo desde el sitio web del proveedor. A continuaci?n, la realizaci?n de un an?lisis est?tico de la aplicaci?n que interact?a con el dispositivo. En este caso, Google Home.
También se pueden interceptar las comunicaciones entre la aplicaci?n y el dispositivo o entre estos y los servidores del proveedor mediante un ataque conocido como de intermediario (MitM, por sus siglas en inglés).
El investigador utiliz? la aplicaci?n de Google Home y se percat? de que a través de ella se pod?an enviar comandos de forma remota a través de la interfaz de programaci?n de aplicaicones (API, por sus siglas en inglés) en la nube. Entonces, us? un escaneo de Nmap para encontrar el pierto de la API HTTP local del dispositivo y configur? un proxy para capturar el tr?fico HTTPS cifrado.
Una vez obtenidos estos datos, supo que el proceso de agregar un nuevo usuario al dispositivo de destino requer?a tanto el nombre de este como el certificado y la ID de la nube de la API local. Concretamente, para agregar un usuario malintencionado implement? esa conexi?n en un script de Pyhton, que reprodujo la solicitud de vinculaci?n.
En este sentido, Kunze describe el escenario de ataque m?s probable en caso de que los ciberdelincuentes hubiesen aprovechado dicha puerta trasera. Primero indica que, cuando los atacantes buscan espiar a sus v?ctimas dentro de la proximidad de Google Home, logra acceder a sus identificadores ?nicos o MAC.
A continuaci?n, el atacante env?a paquetes de desautorizaci?n para desconectar el dispositivo de la red WiFi y desplegar el modo de Configuraci?n. Después, se conecta a esta otra configuraci?n y solicita la informaci?n del dispositivo (nombre, certificado e ID de la nube).
Tras conectarse a internet y hacer uso de los datos del usuario, vincula su cuenta al dispositivo de la v?ctima. A partir de entonces, ya puede espiar a la v?ctima sin tener que estar cerca del dispositivo, sino ?nicamente a través de Google Home o internet.
El investigador ha publicado tres demostraciones de concepto (PoC, por sus siglas en inglés) en GitHub para estas acciones, aunque ha subrayado que estas no deber?an funcionar en los dispositivos Google Home que ejecutan la ?ltima versi?n de su 'firmware'.
Conviene mencionar que Kunze descubri? este fallo de seguridad en enero de 2021 e inform? a la compa??a de este problema en marzo de 2021. Tan solo un mes después, en abril, Google ya hab?a solucionado este problema con un parche de seguridad.
No obstante, tal y como adelantan en Bleeping Computer, Google Home se lanz? en 2016 y las rutinas programadas de sus altavoces inteligentes tan solo dos a?os después, por lo que los atacantes se habr?an podido aprovechar de esta vulnerabilidad durante a?os.
أكثر... (https://www.sport.es/es/noticias/tecnologia/error-altavoces-google-home-permitio-80536719)
Python es un lenguaje de programaci?n utilizado en buena parte de las aplicaciones web, el desarrollo de 'software', la ciencia de datos y el 'machine learning'. Es de descarga gratuita y se puede utilizar en todos los sistemas.
Un investigador llamado Matt Kunze ha anunciado que recientemente ha recibido una compensaci?n econ?mica de parte de Google por uno de sus ?ltimos hallazgos, centrado en los altavoces inteligentes de Google Home.
Concretamente, Kunze ha recibido 107.500 d?lares (unos 100.615 euros al cambio actual) por haber descubierto un error en estos dispositivos que permit?a la instalaci?n de una cuenta de puerta trasera y que los ciberdelincuentes podr?an haber aprovechado para controlarlos en remoto y espiar conversaciones de sus usuarios.
El investigador, que utiliz? un 'script' de Python para acceder al sistema de estos dispositivos, utiliz? para su experimento un Google Home Mini, aunque ha reconocido que este tipo de ataques ofrecieron los mismos resultados en otros modelos de la marca.
En primer lugar, Kunze ha insistido en que al comienzo de su investigaci?n not? "lo f?cil que era agregar nuevos usuarios al dispositivo desde la aplicaci?n Google Home", as? como vincular una cuenta al dispositivo, tal y como se puede leer en su blog.
Con ello, ha expuesto las distintas rutas por las que pueden optar los ciberdelincuentes para acceder a los altavoces desarrollados por Google. En primer lugar, comenta la opci?n de obtener el 'firmware' del dispositivo descarg?ndolo desde el sitio web del proveedor. A continuaci?n, la realizaci?n de un an?lisis est?tico de la aplicaci?n que interact?a con el dispositivo. En este caso, Google Home.
También se pueden interceptar las comunicaciones entre la aplicaci?n y el dispositivo o entre estos y los servidores del proveedor mediante un ataque conocido como de intermediario (MitM, por sus siglas en inglés).
El investigador utiliz? la aplicaci?n de Google Home y se percat? de que a través de ella se pod?an enviar comandos de forma remota a través de la interfaz de programaci?n de aplicaicones (API, por sus siglas en inglés) en la nube. Entonces, us? un escaneo de Nmap para encontrar el pierto de la API HTTP local del dispositivo y configur? un proxy para capturar el tr?fico HTTPS cifrado.
Una vez obtenidos estos datos, supo que el proceso de agregar un nuevo usuario al dispositivo de destino requer?a tanto el nombre de este como el certificado y la ID de la nube de la API local. Concretamente, para agregar un usuario malintencionado implement? esa conexi?n en un script de Pyhton, que reprodujo la solicitud de vinculaci?n.
En este sentido, Kunze describe el escenario de ataque m?s probable en caso de que los ciberdelincuentes hubiesen aprovechado dicha puerta trasera. Primero indica que, cuando los atacantes buscan espiar a sus v?ctimas dentro de la proximidad de Google Home, logra acceder a sus identificadores ?nicos o MAC.
A continuaci?n, el atacante env?a paquetes de desautorizaci?n para desconectar el dispositivo de la red WiFi y desplegar el modo de Configuraci?n. Después, se conecta a esta otra configuraci?n y solicita la informaci?n del dispositivo (nombre, certificado e ID de la nube).
Tras conectarse a internet y hacer uso de los datos del usuario, vincula su cuenta al dispositivo de la v?ctima. A partir de entonces, ya puede espiar a la v?ctima sin tener que estar cerca del dispositivo, sino ?nicamente a través de Google Home o internet.
El investigador ha publicado tres demostraciones de concepto (PoC, por sus siglas en inglés) en GitHub para estas acciones, aunque ha subrayado que estas no deber?an funcionar en los dispositivos Google Home que ejecutan la ?ltima versi?n de su 'firmware'.
Conviene mencionar que Kunze descubri? este fallo de seguridad en enero de 2021 e inform? a la compa??a de este problema en marzo de 2021. Tan solo un mes después, en abril, Google ya hab?a solucionado este problema con un parche de seguridad.
No obstante, tal y como adelantan en Bleeping Computer, Google Home se lanz? en 2016 y las rutinas programadas de sus altavoces inteligentes tan solo dos a?os después, por lo que los atacantes se habr?an podido aprovechar de esta vulnerabilidad durante a?os.
أكثر... (https://www.sport.es/es/noticias/tecnologia/error-altavoces-google-home-permitio-80536719)