NOTICIAS DE CIBERSEGURIDAD

Información para todos

Se hace pública vulnerabilidad en los altavoces de Google Home

El investigador Matt Kunze ha publicado como encontró una vulnerabilidad en los sistemas de Google. Después de aprovechar un programa de recompensas que la compañía ofrece, descubrió un fallo en la seguridad del sistema por el que ha recibido la suma de 107.500 dólares.

Esta vulnerabilidad se notificó a Google hace meses y se publicó un parche mucho antes de que se hiciera pública. Según la cronología, la vulnerabilidad se notificó en enero de 2021 y la solución se aplicó en abril del mismo año. Poco después, Matt fue recompensado por sus esfuerzos.

Mientras experimentaba con su propio altavoz de Google, el investigador descubrió que las nuevas cuentas añadidas mediante la aplicación Google Home podían enviarle comandos de forma remota a través de la API de la nube.

Mediante un escaneo Nmap, el investigador encontró el puerto para la API HTTP local de Google Home, por lo que configuró un proxy para obtener el tráfico HTTPS cifrado, con la esperanza de conseguir el token de autorización del usuario.

El investigador descubrió que añadir un nuevo usuario al dispositivo de destino es un proceso de dos pasos que requiere el nombre del dispositivo, el certificado y el Cloud ID de su API local. Con esta información, podían enviar una solicitud de enlace al servidor de Google.

Para añadir un usuario malicioso a un dispositivo Google Home, el analista implementó el proceso de enlace en un script de Python que automatizaba la filtración de los datos del dispositivo local y reproducía la solicitud de enlace.

Matt continúa explicando, las diversas formas en que un actor malicioso podría implementar múltiples ataques utilizando esta puerta trasera en la aplicación Home.

Ya que una vez dentro podría obtener acceso a cualquier dispositivo vinculado que operara con comandos de voz como ha demostrado también en algún video.

 

Créditos: pablocabellom

.

Cursos Online

-Compartir en redes-

Plataforma de capacitación

 

 

Nosotros

Somos una organización 100% MEXICANA cuyo objetivo es asesorar a las organizaciones en las mejores
prácticas de seguridad de la información.

Cómo denunciar acoso

 

 

Nuestro canal en Telegram