セキュリティ研究者が Google Home をハッキングしてユーザーをスパイしたことで 10 万 7,000 ドルの報奨金を獲得
Google Home などのスマート スピーカーは、その利便性と機能性から近年ますます人気が高まっています。ユーザーは音声コマンドを使用して、自宅を制御し、情報にアクセスし、音楽を再生できます。ただし、セキュリティ研究者は最近、これらのデバイスがユーザーが思っているほど安全ではない可能性があることを発見しました. Matt Kunze という名前で呼ばれるこの研究者は、今週初めに、Google Home スマート スピーカーで発見した脆弱性を詳述した技術記事を公開しました。
研究者は、Google Home アプリから新しいユーザーをデバイスに簡単に追加できることに気づいた後、Google Home の調査を開始しました。彼は、アカウントをデバイスにリンクすると、一連のコマンドを実行するためのショートカットである「ルーチン」を作成し、「アクション」(小さなアプリケーション) をインストールする機能など、ユーザーがアカウントを大幅に制御できることを発見しました。
Kunze 氏は、デバイスにリンクされたアカウントを持っている人なら誰でも、「ルーチン」機能を介してリモートでコマンドを送信できることに気付いたとき、潜在的なセキュリティ リスクについて懸念するようになりました。次に、リンク プロセスを調査して、攻撃者がアカウントをリンクし、デバイスへのアクセスを取得するのがどれほど簡単かを判断することにしました。
さらに調査するために、Kunze は Google Home アプリと Google Home デバイスの間、およびアプリと Google のサーバーの間のトラフィックを傍受して分析したいと考えました。これを行うために、彼は mitmproxy を使用してプロキシ サーバーをセットアップし、プロキシを介してすべてのトラフィックをルーティングするように電話を構成しました。しかし、Google は HTTPS の使用を開始したため、トラフィックの傍受がより困難になりました。これを回避するために、Kunze は root 化された電話と Frida スクリプトを使用して SSL ピンニングをバイパスし、暗号化されたトラフィックの傍受に成功しました。次に、Chromecast と Google Home アプリの間のリンク プロセスを調べたところ、それを複製して、自分のアカウントを Google Home デバイスに正常にリンクすることができました。
ネットワーク情報を調べたところ、Kunze 氏はプロトコル バッファ ペイロードを使用して Google のサーバー上の特定のエンドポイントに対して POST リクエストが行われていることを発見しました。これはプロトコル ツールを使用してデコードできました。このリクエストを修正し、Chromecast の情報を Google Home の情報に置き換えることで、彼は新しいアカウントを Google Home に正常にリンクすることができました。次に、gpsoauth ライブラリと a. proto ファイルを使用して、アプリを必要とせずに新しいアカウントを Google Home デバイスにリンクするプロセスを再作成します。
研究者は、「deauth」パケットをターゲット デバイスに送信して「セットアップ」モードにすることで、近くのデバイスを Wi-Fi ネットワークから簡単に切断できることを発見しました。Google Home Mini は暗号化された管理フレーム (802.11w または WPA3) をサポートしていないため、この種の攻撃に対して脆弱です。研究者は、aircrack-ng を使用して Google Home に対して認証解除攻撃を開始し、ネットワークから切断して独自の認証を作成することでこれを実証しました。Kunze は新しいネットワークに接続し、netstat を使用してルーター (Google Home) の IP を取得し、ローカル API リクエストを正常に発行することができました。
このようにして、研究者は自分の Google Home Mini にリモートでリンクして制御することに成功しました。彼はまた、デバイスの LED が通常はファームウェアの更新に関連して青色に点灯し、通話中にマイク アクティベーション インジケーターが点滅しないため、被害者が異常なアクティビティに気付かない可能性があることも観察しました。
通話がリモートで開始されたときの外観は次のとおりです –
Kunze 氏は考えられる攻撃シナリオを次のようにまとめました。
- 攻撃者は被害者をスパイしようとしています。攻撃者は Google Home の近くにワイヤレスで侵入できます (ただし、被害者の Wi-Fi パスワードは知りません)。
- 攻撃者は、Google Inc. に関連付けられたプレフィックス (E4:F0:42 など) を持つ MAC アドレスをリッスンして、被害者の Google Home を発見します。
- 攻撃者は認証解除パケットを送信して、デバイスをネットワークから切断し、セットアップ モードに入るようにします。
- 攻撃者はデバイスのセットアップ ネットワークに接続し、そのデバイス情報を要求します。
- 攻撃者はインターネットに接続し、取得したデバイス情報を使用して、自分のアカウントを被害者のデバイスに関連付けます。
- 攻撃者は、インターネット経由で Google Home を介して被害者をスパイできるようになりました (デバイスの近くにいる必要はありません)。
Kunzeは GitHub で 3 つの概念実証 (POC)も公開しましたが、Google がセキュリティ上の欠陥を既に修正しているため、いずれも機能しなくなりました。リポジトリはむしろ、例の文書化と保存の役割を果たします。
Google は 2021 年 4 月に、アカウント リンクを処理するための新しい招待ベースのシステムを含むパッチで脆弱性を修正し、ホーム デバイスに追加されていない試みをブロックしました。このパッチはまた、新しいアカウントをリンクするために使用できる方法でデバイスの認証を解除することを不可能にし、ローカル API にアクセスできないようにしました。さらに、Google はルーチンによる「call [phone number]」コマンドのリモート開始を防止する保護を追加しました。
Google Home は 2016 年にリリースされ、脆弱性は 2021 年まで修正されなかったため、これらの脆弱性が発見されて対処されるまでのかなりの期間にわたって存在していたことは注目に値します。
スマート ホーム デバイスは家庭でますます一般的になり、便利な機能を提供しますが、ユーザーのプライバシーとセキュリティに潜在的なリスクももたらします。ユーザーのプライバシーを保護し、潜在的な悪用を防ぐために、メーカーはこれらのデバイスの開発においてセキュリティを優先することが重要です。
Kunze は、彼の仕事に対して $107,500 のバグ報奨金を受け取りました。
出典: Matt Kunze経由: The Hacker News、Bleeping Computer
バグ報奨金プログラムに参加し、セキュリティの脆弱性を特定して報告することに関心のある方のために、Google は Google Bug Hunter と呼ばれるプラットフォームを提供しています。
コメントを残す