谷歌家庭智能音箱显然出现了一个漏洞,黑客可能会安装一个后门账户,然后用这个账户远程控制设备,访问麦克风源,并收听用户的对话。
发现这一问题的研究人员Matt Kunze发现了这一问题,并在2021年通过向谷歌报告这一问题获得了107,500美元的奖励。现在,研究人员公布了有关该漏洞的技术细节,以及黑客如何利用它。
相关的
昆泽表示,通过谷歌Home应用添加的未经授权的新账户可以通过云API远程向设备传输命令。
研究人员总结了此次攻击的全过程:
- 黑客想要在谷歌家庭扬声器的无线范围内监视受害者,但没有主人的WiFi密码。
- 黑客通过监听前缀链接到谷歌公司的MAC地址来发现用户的谷歌Home。
- 黑客发送deth包断开谷歌Home设备的WiFi网络,并让它重新进入设置模式。
- 黑客连接到设备的设置网络,并询问其设备信息,其中包括名称、证书和云ID。
- 黑客连接到互联网,并使用被黑设备的信息将他们的账户与用户的设备链接起来。
- 黑客现在可以通过互联网窥探受害者使用他们的谷歌Home。
昆泽于2021年1月首次发现该问题,并于3月向谷歌发送了更多详细信息,到2021年4月,谷歌已修复了所有问题。
通过:电脑发出哔哔声