近日,一位名叫Matt Kunze的安全研究员发布了一篇博客,透露其因披露了Google Home智能音箱中的安全问题(可能被用来安装后门并将其变成窃听设备),而从谷歌那里获得了107500美元的漏洞赏金。

据Matt Kunze所述,该安全问题允许攻击者在目标设备上安装后门帐户,使攻击者能够通过互联网远程向其发送命令,访问其麦克风信号,并在受害者的局域网内发出任意HTTP请求(若发出恶意请求,不仅会暴露Wi-Fi密码,还会令攻击者能够直接访问连接到同一网络的其他设备)。

在该技术文章中,安全研究员Matt Kunze分享了有关该发现和攻击场景的技术细节,以显示如何利用该漏洞。

发现漏洞的契机是在试验自己的Google Home迷你音箱时,Matt Kunze发现,使用Google Home应用程序添加的新帐户可以通过云API远程向其发送命令。

利用nmap扫描,安全研究员找到了Google Home本地HTTP API的端口,接着他设置了一个代理来拦截加密的HTTPS流量,以抢夺用户授权令牌。

安全研究员发现,向目标设备添加新用户需要来自其本地API的设备名称、证书和cloud_device_id。有了这些信息,研究员可以向谷歌服务器发送链接请求。

研究员接着向目标设备发送一堆“deauth”数据包,以强迫其断开与Wi-Fi网络的连接。因为失去互联网连接时,Google Home设备会进入“设置模式”并创建自己的开放Wi-Fi网络(本来的用意是允许设备的所有者从Google Home应用程序连接到此网络并重置Wi-Fi设置)。

为了将新账户添加到目标Google Home设备,安全研究员通过一个Python脚本实现链接过程,该脚本自动泄露本地设备数据并重现链接请求。

安全研究员Matt Kunze最后在GitHub上发布了关于此安全问题三个可能的利用场景的PoC:启用麦克风进行窃听监视活动、在受害者的网络上发出任意HTTP请求、在设备上读/写任意文件。另外,攻击者还能在受感染的智能音箱上播放媒体、强制重启、强制它忘记存储的 Wi-Fi网络、强制新的蓝牙或Wi-Fi配对等。

根据披露时间表,Matt Kunze于2021年1月报告了此安全问题,并于2021年3月发送了更多详细信息和 PoC。谷歌已于2021年4月修复了这些问题。