“Білий” хакер Метт Кунце знайшов в Google Home Mini помилку, що дозволяє зловмисникам використовувати розумну колонку для прослуховування власників гаджета. Про це повідомляє видання Tweakers.
Дослідник з’ясував, що при виявленні точки доступу Wi-Fi, до якої підключено розумну колонку Google Home, можна перехопити керування над гаджетом, не з’єднуючись з цією точкою доступу.
Для цього потрібно провести атаку деаутентифікації на точку доступу Wi-Fi, яка відключить стовпчик від мережі. Далі, за допомогою спеціальної програми, Google Home можна впровадити додатковий обліковий запис Google. Коли легітимний користувач знову підключить колонку до Wi-Fi, доступ до її управління з’явиться як у власника, так і у зловмисника, який підсунув додатковий обліковий запис.
Отримавши контроль над чужою колонкою, зловмисник може змусити її зателефонувати на телефон. Коли зловмисник підніме слухавку, він чутиме все, що відбувається навколо зламаної колонки. При цьому легітимний користувач, найімовірніше, нічого не помітить.
Кунце виявив описану вразливість на початку 2021 року і відразу повідомив про неї Google. IT-корпорація виплатила «білому» хакеру винагороду у розмірі $107 500. На даний момент Google вже виправила помилку, що дозволило Кунце опублікувати її докладний опис.