Un investigador descubrió mediante un ‘script’ desarrollado por Python, lenguaje de programación utilizado en aplicaciones web y otras plataformas, un error en los parlantes inteligentes Google Home, el cual hacía posible que otras personas pudieran espiar las conversaciones de los usuarios.
Matt Kunze fue el investigador que anunció recientemente que recibió una compensación económica de parte de Google a raíz de sus últimos hallazgos, centrados en los altavoces inteligentes de Google Home.
Concretamente, Kunze ha recibido 107.500 dólares ($521′223.425 al cambio actual) por haber descubierto un error en estos dispositivos que permitía la instalación de una cuenta de puerta trasera y que los ciberdelincuentes podrían haber aprovechado para controlarlos en remoto y espiar conversaciones de sus usuarios.
El investigador empleó un ‘script’ de Python para acceder al sistema de estos dispositivos y así encontró el problema en el altavoz Google Home Mini, pero él también manifestó que gracias a su experimento descubrió que la falla de seguridad está presente en otros dispositivos de la marca.
En primer lugar, Kunze precisó que al comienzo de su investigación notó “lo fácil que era agregar nuevos usuarios al dispositivo desde la aplicación Google Home”, así como vincular una cuenta al dispositivo, tal y como se puede leer en su blog.
Con ello, ha expuesto las distintas rutas por las que pueden moverse los ciberdelincuentes para acceder a los altavoces desarrollados por Google. Esto al poder contar con una opción para obtener el ‘firmware’ del dispositivo, descargándolo desde el sitio web del proveedor.
Además, explicó cómo es posible interceptar las comunicaciones entre una aplicación, el dispositivo y los servidores del proveedor mediante un ataque conocido como de intermediario (MitM, por sus siglas en inglés).
El investigador utilizó la aplicación de Google Home y se percató de que a través de ella se podían enviar comandos de forma remota a través de la interfaz de programación de aplicaicones (API, por sus siglas en inglés) en la nube. Entonces, usó un escaneo de Nmap para encontrar el pierto de la API HTTP local del dispositivo y configuró un proxy para capturar el tráfico HTTPS cifrado.
Una vez obtenidos estos datos, supo que el proceso de agregar un nuevo usuario al dispositivo de destino requería tanto el nombre de este como el certificado y la ID de la nube de la API local. Concretamente, para agregar un usuario malintencionado implementó esa conexión en un script de Pyhton, que reprodujo la solicitud de vinculación.
En este sentido, Kunze describe el escenario de ataque más probable en caso de que los ciberdelincuentes hubiesen aprovechado dicha puerta trasera. Primero indica que, cuando los atacantes buscan espiar a sus víctimas dentro de la proximidad de Google Home, logra acceder a sus identificadores únicos o MAC.
A continuación, el atacante envía paquetes de desautorización para desconectar el dispositivo de la red WiFi y desplegar el modo de Configuración. Después, se conecta a esta otra configuración y solicita la información del dispositivo (nombre, certificado e ID de la nube).
Tras conectarse a Internet y hacer uso de los datos del usuario, vincula su cuenta al dispositivo de la víctima. A partir de entonces, ya puede espiar a la víctima sin tener que estar cerca del dispositivo, sino únicamente a través de Google Home o internet.
El investigador ha publicado tres demostraciones de concepto (PoC, por sus siglas en inglés) en GitHub para estas acciones, aunque ha subrayado que estas no deberían funcionar en los dispositivos Google Home que ejecutan la última versión de su ‘firmware’.
Conviene mencionar que Kunze descubrió este fallo de seguridad en enero de 2021 e informó a la compañía de este problema en marzo de 2021. Tan solo un mes después, en abril, Google ya había solucionado este problema con un parche de seguridad.
*Con información de Europa Press