مشکل امنیتی بسیار مهم در اسپیکر هوشمند گوگل Home به هکرها اجازه میدهد بدون اطلاع کاربران، به خانههای آنها نفوذ کنند.
مت کانزه، محقق امنیتی در ژانویهی ۲۰۲۱ پساز آزمایش Nest Mini خود از مشکل امنیتی آن مطلع شد. وی دریافت هکرها میتوانند با اضافهشدن یک حساب غیرمجاز به برنامهی Home، دستگاه را با API از راهدور کنترل کنند.
کانزه، دریافت هکر برای انجام اینکار بهنام دستگاه، گواهینامه و شناسهی ابری API محلی نیاز دارد. شخص مهاجم با دردست داشتن تمام این موارد میتواند درخواست پیوند به دستگاه را از طریق سرور گوگل ارسال کند و پس از ورود به دستگاه بهعنوان یک کاربر، هکرها با چندین سناریو مواجه خواهند شد.
سناریوهایی که کانزه کشف کرده است شامل توانایی هکر برای جاسوسی از مردم است. آنها همچنین میتوانند درخواستهای HTTP را به شبکهی شما ارسال کرده یا حتی فایلهایی را روی دستگاهها بخوانند یا بنویسند.
هکرها ازطریق باگ گوگل Home میتوانند فرمان تماس را از راهدور فعال کرده و بدینترتیب هرزمان که با گوشی خود تماس بگیرید، به مکالمههای شما در محیط خانه گوش دهند. کانزه در ویدیویی چند Nest Mini بهرنگ آبی را نمایش داد که روی آنها تماسی درحال انجام است؛ بااینحال، امکان دارد هرکسی که در خانه حضور دارد به این موضوع توجهی نداشته باشد.
علاوهبراین، هکر توانایی کنترل سوئیچهای خانهی هوشمند، انجام تراکنشهای آنلاین، بازکردن قفل درهای خانه و خودرو و حتی استفاده از پینهای مورداستفاده برای قفلهای هوشمند را بهدست میآورد.
کانزه درطول تجزیهوتحلیل خود درمورد اینکه چگونه آسیبپذیری گوگل Home را کشف کرده است اعلام کرد اگر آخرین نسخهی سیستمعامل را اجرا کنید، از این باگها درامان خواهید بود زیرا او آسیبپذیری مذکور را در سال ۲۰۲۱ به گوگل گزارش داد و غول جستجوی اینترنت در آوریل همان سال، مشکلات را برطرف کرد. این محقق همچنین مبلغ درخورتوجه ۱۰۷۵۰۰ دلار بهعنوان پاداش یافتن نقص امنیتی مهم و گزارش دقیق آن، دریافت کرد.
کانزه اظهارداشت گوگل قابلیت فعالکردن فرمان تماس از راهدور ازطریق روش مورداستفادهی هکرها را غیرفعال کرد. علاوهبراین بهمنظور افزایش امنیت، دستگاههای خانهی هوشمند گوگل با نمایشگرهایی مثل Nest Hub Max، با رمزعبور WPA2 محافظت میشود. این رمز ازطریق کد QR رو نمایشگر نشان داده میشود.
