Александр Пономарёв

Текст

Программная ошибка в умных колонках Google Home позволяла злоумышленникам превращать их в устройства для слежения за доступом к каналу микрофона

Исследователь кибербезопасности в ходе экспериментов со своей колонкой Google Home обнаружил, что новые учетные записи, добавленные в приложении Google Home, могут удаленно отправлять команды. Добавление нового пользователя на устройство — двухэтапный процесс, требующий данных об имени устройства, сертификате и облачном идентификаторе из локального API.

Наличие мошеннической учетной записи, связанной с целевым устройством, позволяет выполнять действия через колонку, такие как управление интеллектуальными переключателями, совершение онлайн-покупок, удаленное отпирание дверей и транспортных средств, а также подбор кода для интеллектуальных замков.

На скомпрометированной колонке можно в реальном времени включать микрофон, удаленно воспроизводить мультимедиа, перезагружать ее, заставлять забыть сети Wi-Fi, создавать новые пары Bluetooth и многое другое. Google уже выпустила патч с новой системой на основе приглашений для обработки ссылок на учетные записи.

Минпросвещения РФ попросило школы не обновлять зарубежный софт: