漏洞概述
2016 年,谷歌發布 Google Home 智能音箱産品。2021 年,安全研究人員 Matt 在 Google Home 智能音箱設備中發現了一個安全漏洞,攻擊者利用該漏洞可以在受害者設備中安裝後門裝好,并通過互聯網遠程發送命令給受害者設備、訪問麥克風數據量、在受害者網絡中發起任意 HTTP 請求,甚至可能暴露 WiFi 密碼,使攻擊者訪問受害者的其他設備。
研究人員在 Google Home mini 智能音箱測試時發現,使用 Google Home app 添加的新賬号可以通過雲 API 遠程發送命令。
研究人員通過 Nmap 掃描發現了 Google Home 的本地 http API 端口,然後設置代理進行加密的 HTTPS 流量抓包,以期獲取用戶認證 token。
圖 HTTPS 流量抓包
在目标設備上添加新用戶需要 2 個步驟,首先需要設備名、證書、本地 API 的 cloud ID。有了這個信息,就可以發送鍊接請求到谷歌服務器。
圖 包含設備 ID 數據的鍊接請求
整個攻擊的流程如下:
· 攻擊者想要監聽無線網絡範圍内的 Google Home,但無需知道受害者的 WiFi 密碼;
· 攻擊者通過谷歌公司的 Mac 地址前綴來發現受害者的 Google Home 設備;
· 攻擊者發送 deauth 包使設備從網絡端口,并進入設置模式;
· 攻擊者連接到設備的設置網絡,并請求受害者設備信息,包括設備名、證書、cloud ID 等;
· 攻擊者連接到互聯網,并使用獲得的設備信息将其賬号與受害者設備鍊接起來;
· 攻擊者就可以通過互聯網來監聽受害者設備了。
研究人員在 GitHub 上發布了 3 個 PoC,包括植入惡意用戶、通過麥克風進行監聽,在受害者網絡中發起任意 http 請求,在受害者設備上讀寫任意文件。PoC 代碼參見:https://github.com/DownrightNifty/gh_hack_PoC
在受害者設備上植入惡意賬戶就可以通過 Google Home speaker 執行以下操作:
· 進行在線購物;
· 遠程開鎖或解鎖車輛;
· 通過暴力破解 PIN 碼的方式解鎖用戶智能門鎖。
此外,攻擊者還可以濫用 "call [ phone number ] " 命令來在特定時間激活麥克風,撥通攻擊者号碼,并發送麥克風數據流,實現對用戶的監聽。
圖 獲取用戶麥克風數據
在撥打電話過程中,設備的 LED 燈會變藍。如果受害者注意到 LED 燈的變化,可能會認為設備在進行固件升級。
此外,攻擊者還可以在受害者設備上播放音樂、重命名設備、重啟設備、忘記設備保存的 WiFi 網絡密碼、進行藍牙或 WiFi 配對等。
漏洞補丁
Matt 于 2021 年 1 月發現了該漏洞,并在 3 月将漏洞報告給了谷歌,谷歌已于 2021 年 4 月修複了該漏洞。Matt 也獲得了谷歌的 10.75 萬美元漏洞獎勵。
完整技術分析參見:https://downrightnifty.me/blog/2022/12/26/hacking-google-home.html
