Brecha de seguridad en altavoces Google Home permite a hackers espiar en conversaciones privadas

Recientemente se reveló que una laguna de seguridad dentro de los altavoces de Google Home permitía a los hackers espiar las conversaciones.

Un error permitió a los hackers instalar una cuenta de puerta trasera en un dispositivo de altavoz inteligente de Google Home y usarlo mediante control remoto para espiar a los propietarios desprevenidos accediendo a la transmisión de su micrófono, informó Bleeping Computer.

El investigador de seguridad Matt Kunze fue recompensado recientemente con un total de USD 107,500 de Google por descubrir el problema de seguridad en enero de 2021, mientras experimentaba con su propio mini altavoz Google Home.

Kunze notificó a Google en marzo de 2021 y posteriormente publicó los detalles técnicos sobre sus resultados, junto con un posible escenario de ataque, que explicaba cómo el error podría ser aprovechado por un actor externo.

Él descubrió un defecto que permitió enviar comandos de forma remota a través de la interfaz de programación de aplicaciones (API en la nube) tras configurar una nueva cuenta mediante la aplicación Google Home.

Google Home, una serie de altavoces inteligentes, se lanzó en 2016 con bombo y platillo y permitía a los usuarios emitir verbalmente comandos de voz para interactuar con servicios a través de Google Assistant.

Una grave laguna permitía a los hackers acceder a electrodomésticos y altavoces inteligentes

Kunze señaló que si un hacker se acercaba de forma inalámbrica a un dispositivo de altavoz, incluso sin acceso a la red Wi-Fi a la que estaba conectado, podría descubrir el sistema Google Home de un usuario.

Una vez creada una cuenta de usuario, un actor podría acceder al modo de configuración del usuario, instalar una cuenta de Google diferente y volver a conectarlo a la red Wi-Fi de esa persona desprevenida.

Una vez que un hacker lograba conectar su propia cuenta al altavoz Google Home, tenía acceso a los dispositivos inteligentes del hogar de la víctima iniciando una llamada telefónica a través del altavoz, lo que le daba la capacidad de secuestrar aparatos, configurar rutinas programadas y reproducir música.

Mientras tanto, muchos usuarios ignoraban la alerta de luz azul del altavoz inteligente que se enciende cuando se activa un teléfono, asumiendo que el altavoz se estaba actualizando o estaba ocupado.

La actualización de Google soluciona el error de seguridad

Desde entonces, Google ha impedido la posibilidad de agregar de forma remota una cuenta a un altavoz de Google Home con un parche que incluía un nuevo sistema basado en invitaciones para manejar los enlaces de cuentas, bloqueando cualquier intento de personas no agregadas en Home.

También se corrigió la seguridad de las llamadas telefónicas, con protección adicional para evitar el inicio remoto a través del sistema de rutina programada.

Las pantallas inteligentes de Google ahora tienen una red de configuración mejorada que requiere un código QR para iniciar sesión, lo que permite protegerlo con WPA2, lo que significa que un hacker necesitaría acceso físico a un dispositivo para conectar su cuenta.

Kunze dijo que los dispositivos Nest y Home de Google eran, en su mayor parte, bastante seguros y no ofrecían muchos vectores de ataque y que las vulnerabilidades que descubrió eran bastante sutiles.

Aparte de la privacidad de las llamadas telefónicas, dijo que lo más que podía hacer un atacante era cambiar algunas configuraciones básicas del usuario.

The Epoch Times contactó a Google para solicitar comentarios.

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí