Un error en los altavoces de Google Home permitió controlarlos en remoto y espiar conversaciones de sus usuarios
SOCIEDAD
La brecha de seguridad fue descubierta en marzo del 2021 e inmediatamente solventada, pero estos dispositivos llevaban ya cinco años en el mercado
31 dic 2022 . Actualizado a las 10:38 h.Un error en los altavoces inteligentes de Google Home, con el que dio un investigador a través de un script desarrollado por el lenguaje de programación Python, dejó completamente expuestos a sus usuarios al permitir instalar cuentas de puerta trasera para controlar los dispositivos en remoto y, así, espiar las conversaciones. Experto en seguridad, Matt Kunze, recibió 107.500 dólares (unos 100.615 euros) por haber descubierto el fallo, que destapó al notar «lo fácil que era agregar nuevos usuarios al dispositivo desde la aplicación Google Home», así como vincular una cuenta.
A través de su blog, expuso las distintas rutas por las que los ciberdelincuentes pudieron haber accedido a los altavoces desarrollados por Google. En primer lugar, obteniendo el firmware —el programa informático básico básico que controla los circuitos electrónicos de un dispositivo— descargándolo desde el sitio web del proveedor. A continuación, realizando un análisis estático de la aplicación que interactúa con el Google Home. También pudieron haber interceptado las comunicaciones entre la aplicación y el dispositivo o entre estos y los servidores del proveedor mediante un ataque conocido como de intermediario (MitM, por sus siglas en inglés).
El investigador utilizó la aplicación de Google Home y se percató de que a través de ella se podían enviar comandos de forma remota por medio de la interfaz de programación (API, por sus siglas en inglés) en la nube. Kunze describió el escenario de ataque más probable en caso de que los ciberdelincuentes hubiesen aprovechado la puerta trasera: acceso a los identificadores únicos o MAC, envío de paquetes de desautorización para desconectar el dispositivo de la red WiFi y despliegue del modo de Configuración. Después, conexión a esta otra configuración y solicitación de la información del dispositivo (nombre, certificado e ID de la nube).
La brecha, que Kunze descubrió en enero del 2021 y que se ha hecho pública ahora, permitía entonces la vinculación con el dispositivo de la víctima sin siquiera tener que estar cerca. El investigador informó a la compañía de este problema en marzo de ese mismo año. Tan solo un mes después, Google ya lo había solucionado con un parche de seguridad. No obstante, tal y como precisan en Bleeping Computer, Google Home se lanzó en 2016, por lo que esta vulnerabilidad pudo ser aprovechada durante años.