Niektóre inteligentne głośniki Google Home mogły zostać przejęte zdalnie przez hakerów. Ci mogą następnie sterować urządzeniami, a nawet podsłuchiwać prywatne rozmowy - twierdzi ekspert ds. bezpieczeństwa Matt Kunze.

Kunze to specjalista ds. cyberbezpieczeństwa, który otrzymał nagrodę w wysokości 107 500 dol. za odpowiedzialne zgłoszenie usterek do Google'a. Analizował swój własny minigłośnik Google Home pod kątem możliwych problemów i luk w zabezpieczeniach.

Następnie napisał post, w którym wyjaśnia, że można dodać kolejne konto Google do urządzenia, by następnie prowadzić podsłuch bez wiedzy innych użytkowników.

Głośnik Google Home jak Wielki Brat

Jak tłumaczy Kunze, atakujący musi znajdować się najpierw w zasięgu urządzenia i przechwycić adres MAC z prefiksami powiązanymi z Google. Taki haker musiałby więc najpierw znaleźć się w naszym domu.

Kiedy jednak udałoby się zrealizować ten krok, haker kolejno mógłby wysyłać pakiety deauth, aby odłączyć urządzenie od sieci i uruchomić tryb konfiguracji. W tym trybie zażądałby informacji o urządzeniu i wykorzystałby je, aby połączyć swoje konto z urządzeniem - i gotowe. Od tego momentu mógłby szpiegować właściciela domu przez internet poprzez smart głośnik Google'a.

Ryzyko jest ponadto większe niż tylko "podsłuchiwanie" rozmów ludzi przebywających w poszczególnych pomieszczeniach.

Wielu użytkowników łączy różne urządzenia ze smart głośnikami, w tym zamki do drzwi i inteligentne przełączniki. Dzięki temu mogą np. powiedzieć komendę "otwórz drzwi" do głośnika i następnie otworzy się zamek do drzwi wejściowych. Stosowanie tego typu komend głosowych bywa wygodne, ale jest też – jak widać – niebezpieczne.

Smart głośniki już bezpieczne

Specjalista ds. cyberbezpieczeństwa znalazł też sposób na nadużywanie polecenia "zadzwoń pod numer telefonu", by spowodować, że smart głośnik zadzwoni do wybranej osoby (np. atakującego) o określonej godzinie i zacznie transmitować dźwięk na żywo.

Błąd został wykryty na początku 2021 r. i naprawiony w kwietniu 2022 r. Google stworzyło nowy system łączenia kont, oparty na zaproszeniach - blokuje on wszystkie konta, które nie zostały dodane do strony głównej panelu admina.

Jeśli ktoś jednak stosuje smart głośnik Google'a i nie aktualizuje firmware'u, najwyższa pora to zrobić. Oprogramowanie układowe można pobrać z oficjalnej strony Google'a. To ważne, aby Google Home wykorzystywał najnowszą wersję softu.