Google Home: afluisteren van een speaker gelukt door onderzoeker

Elwin Hodžić
0

Een beveiligingsonderzoeker heeft aangetoond dat de Google Home mini kwetsbaar was voor afluisteren. Het probleem is door Google opgelost en de onderzoeker heeft een bugbounty gekregen van Google van iets meer dan 100.000 dollar.

Google Home afluisteren van een speaker gelukt door onderzoeker


Ontvang gratis informatie en tips over (cyber) security, schrijf je in voor de nieuwsbrief:

Ontvang elke week het laatste IT-nieuws, de handigste tips en speciale aanbiedingen.

Kan Google Home je afluisteren?

De beveiligingsonderzoeker laat in een uitgebreid rapport zien hoe hij toegang heeft gekregen tot het apparaat binnen het draadloze bereik van de speaker. Iedereen die is aangemeld op een slimme speaker kan onder andere routines instellen die op bepaalde momenten van de dag automatisch starten. Een aanvaller zou volgens de onderzoeker een routine kunnen maken waarbij de luidspreker een bepaald telefoonnummer belt om een ​​afluisteraanval te starten.

Maar hoe werkt ongeautoriseerde toegang tot de speaker? Om daar achter te komen, luisterde de beveiligingsonderzoeker de datacommunicatie van de slimme speaker af. Om dit te doen, zette hij een proxy op met de mitmproxy-tool en plugde hij als een man-in-the-middle in op de verbinding. Aangezien Google onlangs ook HTTPS in het LAN is gaan gebruiken, moest hij volgens hem een ​​aantal trucjes gebruiken.

Zo rootte hij zijn test-smartphone zodat het Android-systeem Mitmproxy’s Root CA zou vertrouwen. Volgens zijn eigen verklaringen gebruikt hij een Frida-script (waarmee je apps kunt aanpassen met JavaScript) om de SSL-pinning-beveiligingsfunctie te omzeilen.

Hierdoor kon de beveiligingsonderzoeker het volledige versleutelde dataverkeer inzien. De beveiligingsonderzoeker deed kennis op over het koppelen van Google-accounts aan de spreker. Op basis hiervan creëerde hij een Python-script. Op basis van de inloggegevens van een Google-account en het IP-adres van een Google Home speaker kon hij het account aan de speaker koppelen.

Een hacker kan het script gebruiken om een ​​app te maken en deze aan een slachtoffer op te dringen. Na het uitvoeren van de app zou de luidspreker in gevaar zijn gebracht. Volgens de veiligheidsonderzoeker zou een aanval echter ook kunnen werken zonder dat een slachtoffer meespeelt.

Een hacker zou zich binnen het draadloze bereik van de slimme luidspreker moeten bevinden om dit te laten werken. Hiervoor is geen toegang tot het wifi-netwerk van het slachtoffer nodig. Vervolgens zou de hacker het MAC-adres van de spreker moeten vinden. Er zijn bekende voorvoegsels geassocieerd met Google Inc. De hacker zou het apparaat dan met bepaalde pakketten in de configuratiemodus kunnen zetten. Vervolgens kan hij via internet een account aan de speaker koppelen met behulp van de apparaatinformatie die hij heeft verzameld. Bovendien kan hij nu ook via het internet bespioneren.

Om dit te stoppen, heeft Google het accountkoppelingsproces aangescherpt. Zo is de routine ”bel telefoonnummer” voor gebruik op afstand vergrendeld. Volgens de beveiligingsonderzoeker is het probleem echter dat de Google Home-architectuur gebaseerd is op de Google Chromecast. De Chromecast heeft nauwelijks beveiligingsmaatregelen tegen man-in-the-middle-aanvallen. Hierdoor zouden ook andere apparaten in de Google Home-serie op deze manier kunnen worden aangevallen.

Lees meer over (cyber) security c't magazine 3/2023

Deel dit artikel

Elwin Hodžić
Elwin HodžićWebredacteur bij c't. Ondanks de studie geschiedenis, altijd al een passie gehad voor alles wat met IT te maken heeft. Sleutelt in zijn vrije graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen om een pc zo optimaal mogelijk te laten werken.

Lees ook

blendOS: Linux-distributie die Arch, Fedora & Ubuntu combineert

De nieuwe Linux-distributie blendOS combineert de pakketbeheerders van de populaire Linux-distributies Arch, Fedora & Ubuntu. Hierdoor wilt deze nieuw...

ChatGPT: bot met disruptief potentieel voor de arbeidsmarkt?

Veel mensen willen de nieuwe ChatGPT bot van OpenAI testen. Deze bot kan namelijk verschillende dingen doen op verzoek, denk hierbij aan: programmeren...

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er