网界网1月3日消息,谷歌家庭扬声器现出现一个漏洞,研究人员马特·昆泽发现,黑客可以通过谷歌的智能扬声器监视家中的人。
马特·昆泽于2021年1月通过Bleeping Computer试验Nest Mini后发现了这些问题。可以通过Home应用程序添加一个新的“流氓”帐户,让黑客通过云API远程控制设备。
马特·昆泽发现,要做到这一点,黑客需要设备的名称、证书和来自本地API的“云ID”。有了这些,黑客可以通过谷歌的服务器发送设备的链接请求。在像流氓用户一样进入设备后,昆泽揭示了如果黑客对家里的设备进行攻击,可能会发生的多种情况。包括被黑客监视,但他们也可能在你的网络上发出HTTP请求,甚至在设备上读/写文件。
如果这还不够令人不安,黑客可以远程激活智能音箱的通话命令,使您的设备能够在任何给定的时刻拨打他们的电话,并收听您家中发生的对话。在Kunze的演示视频中,Nest Mini的四个灯亮成蓝色,这表明正在进行通话。然而,任何人只要在家里走过,可能不会注意到这一点,或者可能不会将这归因于某个地方的电话。
此外,黑客还可以控制你的智能家居开关,进行在线交易,解锁你的家和车门,甚至可以利用你的PIN来智能锁。
Kunze在分析他如何发现这个令人沮丧的漏洞时表示,如果你运行最新的固件,这一切都不可能。这是因为当他们在2021向谷歌报告时,已经在同年4月修复了这些问题。研究人员还获得了107500美元作为发现关键缺陷并详细报告的赔偿。
研究人员确实表示,谷歌的解决方案包括需要邀请用户访问设备注册的“主页”,以便将其链接到您的帐户。此外,谷歌还禁用了通过例程远程激活呼叫命令的功能。为了进一步加强您的安全性,带有显示器的谷歌智能家居设备(如Nest Hub Max)受到WPA2密码的保护,该密码通过显示器上的二维码显示。
