Google Home speakers allowed hackers to snoop on conversations

Google Home スマート スピーカーのバグにより、バックドア アカウントをインストールしてリモートで制御し、マイク フィードにアクセスしてスヌーピング デバイスに変えることができました。

ある研究者がこの問題を発見し、昨年 Google に責任を持って報告したことで 107,500 ドルを受け取りました。今週初め、研究者は発見に関する技術的な詳細と攻撃シナリオを公開して、この欠陥をどのように利用できるかを示しました。

侵害プロセス

研究者は、自分の Google Home ミニ スピーカーを試しているときに、Google Home アプリを使用して追加された新しいアカウントが、クラウド API を介してリモートでコマンドを送信できることを発見しました。

Nmap スキャンを使用して、研究者は Google Home のローカル HTTP API のポートを見つけたので、暗号化された HTTPS トラフィックをキャプチャするプロキシを設定し、ユーザー認証トークンを奪うことを望んでいました。

キャプチャされた HTTPS (暗号化) トラフィック
キャプチャされた HTTPS (暗号化) トラフィック(downrightnifty.me)

研究者は、新しいユーザーをターゲット デバイスに追加することは、ローカル API からのデバイス名、証明書、および「クラウド ID」を必要とする 2 段階のプロセスであることを発見しました。この情報を使用して、リンク リクエストを Google サーバーに送信できます。

悪意のあるユーザーをターゲットの Google Home デバイスに追加するために、アナリストはリンク プロセスを Python スクリプトに実装し、ローカル デバイス データの抽出を自動化し、リンク リクエストを再現しました。

デバイス ID データを運ぶリンク要求
デバイス ID データ(downrightnifty.me)を含むリンク要求

この攻撃は、 研究者のブログで次のように要約されています。

  1. 攻撃者は、Google Home の近くにワイヤレスで被害者をスパイしようとします (ただし、被害者の Wi-Fi パスワードは知りません)。
  2. 攻撃者は、Google Inc. に関連付けられたプレフィックス (E4:F0:42 など) を持つ MAC アドレスをリッスンして、被害者の Google Home を発見します。
  3. 攻撃者は認証解除パケットを送信して、デバイスをネットワークから切断し、セットアップ モードにします。
  4. 攻撃者はデバイスのセットアップ ネットワークに接続し、そのデバイス情報 (名前、証明書、クラウド ID) を要求します。
  5. 攻撃者はインターネットに接続し、取得したデバイス情報を使用して自分のアカウントを被害者のデバイスにリンクします。
  6. 攻撃者は、インターネット経由で Google Home を介して被害者をスパイできるようになりました (デバイスの近くにいる必要はありません)。

研究者は GitHub で、上記のアクションに関する 3 つの PoCを公開しました。ただし、これらは最新のファームウェア バージョンを実行している Google Home デバイスでは機能しません。

PoC は、悪意のあるユーザーを植え付けるだけではなく、マイクを介してスパイし、被害者のネットワークで任意の HTTP 要求を作成し、デバイスで任意のファイルを読み書きすることからさらに一歩進んでいます。

考えられる影響

不正なアカウントがターゲット デバイスにリンクされていると、スマート スイッチの制御、オンラインでの購入、ドアや車両のリモート ロック解除、スマート ロック用のユーザーの PIN のこっそりとした総当たり攻撃など、Google Home スピーカーを介してアクションを実行できるようになります。

さらに心配なことに、研究者は、指定された時間にマイクをアクティブにし、攻撃者の番号に電話をかけ、ライブマイクフィードを送信する悪意のあるルーチンに「call [電話番号]」コマンドを追加することで、このコマンドを悪用する方法を発見しました。

マイクの音声をキャプチャする悪意のあるルーティング
マイクの音声をキャプチャする悪意のあるルーティング(downrightnifty.me)

通話中、デバイスの LED が青色に変わります。これは、何らかのアクティビティが行われていることを示す唯一の兆候です。被害者がそれに気付いた場合、デバイスがファームウェアを更新していると思い込む可能性があります。標準のマイク アクティベーション インジケータは、通話中には発生しないパルス LED です。

最後に、侵害されたスマート スピーカーでメディアを再生したり、名前を変更したり、強制的に再起動したり、保存された Wi-Fi ネットワークを忘れさせたり、新しい Bluetooth または Wi-Fi ペアリングを強制したりすることもできます。

Google の修正

アナリストは 2021 年 1 月に問題を発見し、2021 年 3 月に追加の詳細と PoC を送信しました。Google は 2021 年 4 月にすべての問題を修正しました。

このパッチには、アカウント リンクを処理するための新しい招待ベースのシステムが含まれており、ホームに追加されていない試行はすべてブロックされます。

Google Home の認証解除は引き続き可能ですが、これを使用して新しいアカウントをリンクすることはできないため、基本的なデバイス データを漏えいしたローカル API にもアクセスできません。

「call [phone number]」コマンドに関しては、Google はルーチンによるリモート開始を防止するための保護を追加しました。

Google Home が 2016 年にリリースされ、2018 年にスケジュールされたルーチンが追加され、Local Home SDK が 2020 年に導入されたことは注目に値します。したがって、攻撃者が 2021 年 4 月より前に問題を発見した場合、十分に利用することができたはずです。