-
09/04/2020
-
85
-
556 bài viết
Nguy cơ bị nghe lén khi sử dụng loa Google Home
Loa thông minh Google Home có thể cho phép cài đặt tài khoản backdoor để kiểm soát từ xa, biến thiết bị thành công cụ nghe lén bằng cách truy cập đường truyền micro.
Một nhà nghiên cứu đã phát hiện và báo lỗi này vào năm 2021. Đến đầu tuần qua, chi tiết quá trình khai thác lỗ hổng và kịch bản tấn công đã được công bố.
Trong khi thử nghiệm loa Google Home mini, nhà nghiên cứu đã phát hiện ra các tài khoản mới được thêm bằng ứng dụng Google Home có thể gửi lệnh từ xa thông qua cloud API.
Bằng cách quét Nmap, nhà nghiên cứu đã tìm thấy cổng API HTTP nội bộ của Google Home, bởi vậy ông thiết lập một proxy để nắm bắt lưu lượng HTTPS được mã hóa, với hy vọng lấy được token hợp lệ của người dùng.
Nhà nghiên cứu cũng phát hiện quy trình thêm người dùng mới vào thiết bị gồm 2 bước, cần có tên thiết bị, chứng chỉ và “ID cloud” từ API nội bộ. Với thông tin này, kẻ xấu có thể gửi yêu cầu liên kết đến máy chủ Google.
Để thêm người dùng giả mạo vào thiết bị Google Home mục tiêu, nhà nghiên cứu đã triển khai quy trình liên kết trong tập lệnh Python để tự động lọc dữ liệu thiết bị nội bộ và sao chép yêu cầu liên kết.
Tóm tắt cuộc tấn công:
Các PoC mô tả chi tiết hơn so với việc chỉ cài đặt một người dùng giả mạo và cho phép theo dõi micro, thực hiện các yêu cầu HTTP trên mạng của nạn nhân và đọc/ghi các tệp tùy ý trên thiết bị.
Việc có tài khoản lừa đảo được liên kết với thiết bị mục tiêu giúp thực hiện các hành động thông qua loa Google Home, như điều khiển công tắc thông minh, mua hàng trực tuyến, mở khóa cửa, sử dụng trộm mã PIN.
Đáng lưu ý, nhà nghiên cứu đã tìm ra cách lợi dụng lệnh "gọi [số điện thoại]" bằng cách thêm nó vào một quy trình độc hại kích hoạt micro vào một thời điểm cụ thể, gọi đến số của kẻ tấn công và gửi nguồn cấp dữ liệu micro trực tiếp.
Trong khi gọi, đèn LED của thiết bị sẽ chuyển sang màu xanh thay vì đèn nhấp nháy – đây cũng là dấu hiệu duy nhất cho thấy một số hoạt động đang diễn ra. Nạn nhân phát hiện cũng chỉ nghĩ đơn giản rằng thiết bị đang cập nhật chương trình cơ sở.
Cuối cùng, bật các nội dung trên thiết bị loa bị kiểm soát, đổi tên thiết bị, khởi động lại, chọn quên các thiết bị mạng Wi-Fi đã lưu trữ hoặc ghép nối Bluetooth hoặc Wi-Fi mới,…
Người dùng vẫn có thể hủy cấp phép Google Home nhưng không thể dùng cách này để liên kết một tài khoản mới. Do đó, API nội bộ đã làm rò rỉ dữ liệu cơ bản của thiết bị cũng không thể truy cập được.
Đối với lệnh "gọi [số điện thoại]", Google đã thêm một biện pháp an ninh để ngăn chặn khởi tạo từ xa như thường lệ.
Điều đáng chú ý là Google Home đã được phát hành vào năm 2016, lịch trình được thêm vào năm 2018 và Local Home SDK được giới thiệu vào năm 2020. Vì vậy kẻ tấn công phát hiện lỗi này trước tháng 4 năm 2021 sẽ có nhiều thời gian để lợi dụng.
Một nhà nghiên cứu đã phát hiện và báo lỗi này vào năm 2021. Đến đầu tuần qua, chi tiết quá trình khai thác lỗ hổng và kịch bản tấn công đã được công bố.
Trong khi thử nghiệm loa Google Home mini, nhà nghiên cứu đã phát hiện ra các tài khoản mới được thêm bằng ứng dụng Google Home có thể gửi lệnh từ xa thông qua cloud API.
Bằng cách quét Nmap, nhà nghiên cứu đã tìm thấy cổng API HTTP nội bộ của Google Home, bởi vậy ông thiết lập một proxy để nắm bắt lưu lượng HTTPS được mã hóa, với hy vọng lấy được token hợp lệ của người dùng.
Nhà nghiên cứu cũng phát hiện quy trình thêm người dùng mới vào thiết bị gồm 2 bước, cần có tên thiết bị, chứng chỉ và “ID cloud” từ API nội bộ. Với thông tin này, kẻ xấu có thể gửi yêu cầu liên kết đến máy chủ Google.
Để thêm người dùng giả mạo vào thiết bị Google Home mục tiêu, nhà nghiên cứu đã triển khai quy trình liên kết trong tập lệnh Python để tự động lọc dữ liệu thiết bị nội bộ và sao chép yêu cầu liên kết.
Tóm tắt cuộc tấn công:
- Kẻ tấn công muốn theo dõi nạn nhân trong vùng wireless của Google Home (nhưng không có mật khẩu Wi-Fi của nạn nhân).
- Kẻ tấn công phát hiện ra Google Home mục tiêu bằng cách nghe lén các địa chỉ MAC có tiền tố được liên kết với Google Inc (ví dụ: E4:F0:42).
- Kẻ tấn công gửi các gói deauth để ngắt kết nối thiết bị khỏi mạng và đưa thiết bị vào chế độ thiết lập.
- Kẻ tấn công kết nối với mạng thiết lập của thiết bị và yêu cầu thông tin (tên, chứng chỉ, ID cloud).
- Kẻ tấn công kết nối với Internet và sử dụng thông tin vừa thu được để liên kết tài khoản của chúng với thiết bị của nạn nhân.
- Giờ đây, kẻ tấn công có thể theo dõi nạn nhân thông qua Google Home trên Internet mà không cần gần thiết bị.
Các PoC mô tả chi tiết hơn so với việc chỉ cài đặt một người dùng giả mạo và cho phép theo dõi micro, thực hiện các yêu cầu HTTP trên mạng của nạn nhân và đọc/ghi các tệp tùy ý trên thiết bị.
Việc có tài khoản lừa đảo được liên kết với thiết bị mục tiêu giúp thực hiện các hành động thông qua loa Google Home, như điều khiển công tắc thông minh, mua hàng trực tuyến, mở khóa cửa, sử dụng trộm mã PIN.
Đáng lưu ý, nhà nghiên cứu đã tìm ra cách lợi dụng lệnh "gọi [số điện thoại]" bằng cách thêm nó vào một quy trình độc hại kích hoạt micro vào một thời điểm cụ thể, gọi đến số của kẻ tấn công và gửi nguồn cấp dữ liệu micro trực tiếp.
Trong khi gọi, đèn LED của thiết bị sẽ chuyển sang màu xanh thay vì đèn nhấp nháy – đây cũng là dấu hiệu duy nhất cho thấy một số hoạt động đang diễn ra. Nạn nhân phát hiện cũng chỉ nghĩ đơn giản rằng thiết bị đang cập nhật chương trình cơ sở.
Cuối cùng, bật các nội dung trên thiết bị loa bị kiểm soát, đổi tên thiết bị, khởi động lại, chọn quên các thiết bị mạng Wi-Fi đã lưu trữ hoặc ghép nối Bluetooth hoặc Wi-Fi mới,…
Google vá lỗi
Google đã giải quyết mọi sự cố vào tháng 4 năm 2021. Bản vá bao gồm một hệ thống dựa trên đề xuất mới để xử lý các liên kết tài khoản, hệ thống này chặn mọi nỗ lực không được thêm vào Trang chủ.Người dùng vẫn có thể hủy cấp phép Google Home nhưng không thể dùng cách này để liên kết một tài khoản mới. Do đó, API nội bộ đã làm rò rỉ dữ liệu cơ bản của thiết bị cũng không thể truy cập được.
Đối với lệnh "gọi [số điện thoại]", Google đã thêm một biện pháp an ninh để ngăn chặn khởi tạo từ xa như thường lệ.
Điều đáng chú ý là Google Home đã được phát hành vào năm 2016, lịch trình được thêm vào năm 2018 và Local Home SDK được giới thiệu vào năm 2020. Vì vậy kẻ tấn công phát hiện lỗi này trước tháng 4 năm 2021 sẽ có nhiều thời gian để lợi dụng.
Theo BleepingComputer