Een beveiligingsonderzoeker heeft aangetoond dat de Google Home mini kwetsbaar was voor afluisteren. Het probleem is door Google opgelost en de onderzoeker heeft een bugbounty gekregen van Google van iets meer dan 100.000 dollar.
Kan Google Home je afluisteren?
De beveiligingsonderzoeker laat in een uitgebreid rapport zien hoe hij toegang heeft gekregen tot het apparaat binnen het draadloze bereik van de speaker. Iedereen die is aangemeld op een slimme speaker kan onder andere routines instellen die op bepaalde momenten van de dag automatisch starten. Een aanvaller zou volgens de onderzoeker een routine kunnen maken waarbij de luidspreker een bepaald telefoonnummer belt om een afluisteraanval te starten.
Het besturen van de Google Home luidsprekers
Maar hoe werkt ongeautoriseerde toegang tot de speaker? Om daar achter te komen, luisterde de beveiligingsonderzoeker de datacommunicatie van de slimme speaker af. Om dit te doen, zette hij een proxy op met de mitmproxy-tool en plugde hij als een man-in-the-middle in op de verbinding. Aangezien Google onlangs ook HTTPS in het LAN is gaan gebruiken, moest hij volgens hem een aantal trucjes gebruiken.
Zo rootte hij zijn test-smartphone zodat het Android-systeem Mitmproxy’s Root CA zou vertrouwen. Volgens zijn eigen verklaringen gebruikt hij een Frida-script (waarmee je apps kunt aanpassen met JavaScript) om de SSL-pinning-beveiligingsfunctie te omzeilen.
Hierdoor kon de beveiligingsonderzoeker het volledige versleutelde dataverkeer inzien. De beveiligingsonderzoeker deed kennis op over het koppelen van Google-accounts aan de spreker. Op basis hiervan creëerde hij een Python-script. Op basis van de inloggegevens van een Google-account en het IP-adres van een Google Home speaker kon hij het account aan de speaker koppelen.
Mogelijke aanvallen op Google Home
Een hacker kan het script gebruiken om een app te maken en deze aan een slachtoffer op te dringen. Na het uitvoeren van de app zou de luidspreker in gevaar zijn gebracht. Volgens de veiligheidsonderzoeker zou een aanval echter ook kunnen werken zonder dat een slachtoffer meespeelt.
Een hacker zou zich binnen het draadloze bereik van de slimme luidspreker moeten bevinden om dit te laten werken. Hiervoor is geen toegang tot het wifi-netwerk van het slachtoffer nodig. Vervolgens zou de hacker het MAC-adres van de spreker moeten vinden. Er zijn bekende voorvoegsels geassocieerd met Google Inc. De hacker zou het apparaat dan met bepaalde pakketten in de configuratiemodus kunnen zetten. Vervolgens kan hij via internet een account aan de speaker koppelen met behulp van de apparaatinformatie die hij heeft verzameld. Bovendien kan hij nu ook via het internet bespioneren.
Probleem opgelost door Google?
Om dit te stoppen, heeft Google het accountkoppelingsproces aangescherpt. Zo is de routine ”bel telefoonnummer” voor gebruik op afstand vergrendeld. Volgens de beveiligingsonderzoeker is het probleem echter dat de Google Home-architectuur gebaseerd is op de Google Chromecast. De Chromecast heeft nauwelijks beveiligingsmaatregelen tegen man-in-the-middle-aanvallen. Hierdoor zouden ook andere apparaten in de Google Home-serie op deze manier kunnen worden aangevallen.
Bron: ct.nl