Google Home: una vulnerabilidad permite escuchar llamadas

Google Home Mini

Los altavoces inteligentes están a la orden del día y millones de hogares en todo el mundo cuenta con al menos uno de estos dispositivos en su casa. Apple con sus HomePod, Google con la serie Google Home y Amazon con su gama Echo, llevan tiempo metidos dentro de nuestros hogares. Se trata de productos con una tecnología increíblemente útil, pero no están exentos de problemas de privacidad. 

Tienen micrófonos siempre activos y están conectados a Internet, lo que para algunas personas es una invasión de privacidad demasiado grande y prefieren no tenerlos en casa. Desafortunadamente, las últimas noticias les han dado la razón a aquellos que no quieren tener uno de estos dispositivos. El investigador de seguridad Matt Kunze ha demostrado que es posible convertir un Google Home Mini en un dispositivo para escuchar llamadas.

Esta vulnerabilidad se descubrió y probó en un Google Home Mini, pero Kunze dice que funcionaría de manera similar en otros modelos de altavoces inteligentes de Google.

Así es la vulnerabilidad descubierta en los Google Home

Vincular una cuenta a un dispositivo Google Home te da todo el control sobre él y permite ejecutar comandos de forma remota. Los comandos son útiles para predefinir una funcionalidad en condiciones específicas, pero se puede abusar de ellas si se puede acceder al dispositivo de forma remota y controlarlo.

Kunze puso a prueba si era posible que un atacante vinculara su propia cuenta de Google con el Google Home de otra persona, lo que le permitiría aprovechar el control para enviar comandos de forma remota a través de la API en la nube.

Haciendo uso de herramientas como proxy man-in-the-middle (mitmproxy), pudo acceder al tráfico entre la aplicación Google Home en un teléfono y el dispositivo Google Home. A partir de ahí, descubrió que se podía vincular una cuenta de Google al dispositivo obteniendo su información a través de una API local y luego enviando una solicitud a los servidores de Google con información para vincularla.

Kunze creó un script de Python con el que se hizo con las credenciales de Google y una dirección IP. Después vinculó su cuenta de Google al dispositivo en la dirección IP dada. Una vez que tenía control sobre el dispositivo dado, podía crear cualquier comando y activarla en el dispositivo vinculado. Incluso podía pedir a Google Assistant que llamase a cualquier contacto.

Google ya ha solucionado el fallo

En el lado positivo es que, después de que Kunze informara esto el 8 de enero de 2021, Google solucionó la vulnerabilidad y le recompensó con un total de $ 107.500 dólares. Hoy en día es imposible vincular una cuenta a un dispositivo Google Home sin una invitación de la cuenta ya vinculada. Además, en los dispositivos con pantalla, la red que crea el dispositivo para la configuración está protegida por WPA2 y requiere una contraseña para acceder.

Deja una respuesta