Un chercheur en sécurité empoche une prime de 107 000 $ pour avoir piraté Google Home pour vous espionner

Les haut-parleurs intelligents, comme Google Home, sont devenus de plus en plus populaires ces dernières années pour leur commodité et leur fonctionnalité. Ils permettent aux utilisateurs de contrôler leur maison, d’accéder à des informations et d’écouter de la musique à l’aide de commandes vocales. Cependant, un chercheur en sécurité a récemment découvert que ces appareils n’étaient peut-être pas aussi sûrs que les utilisateurs pourraient le penser. Le chercheur, qui s’appelle Matt Kunze, a publié plus tôt cette semaine un article technique détaillant les vulnérabilités qu’il a découvertes dans le haut-parleur intelligent Google Home.

Le chercheur a commencé à enquêter sur Google Home après avoir remarqué à quel point il était facile d’ajouter de nouveaux utilisateurs à l’appareil à partir de l’application Google Home. Il a constaté que la liaison d’un compte à l’appareil donnait à l’utilisateur un contrôle important sur celui-ci, y compris la possibilité de créer des « routines » – des raccourcis pour exécuter une série de commandes – et d’installer des « actions » (petites applications).

Kunze s’est inquiété des risques de sécurité potentiels lorsqu’il s’est rendu compte que toute personne disposant d’un compte lié à l’appareil pouvait lui envoyer des commandes à distance via la fonction « routines ». Il a ensuite décidé d’enquêter sur le processus de liaison pour déterminer dans quelle mesure il serait facile pour un attaquant de lier un compte et d’accéder potentiellement à l’appareil.

Pour approfondir ses recherches, Kunze souhaitait intercepter et analyser le trafic entre une application Google Home et un appareil Google Home, ainsi qu’entre l’application et les serveurs de Google. Pour ce faire, il a configuré un serveur proxy à l’aide de mitmproxy et a configuré son téléphone pour acheminer tout le trafic via le proxy. Cependant, Google avait commencé à utiliser HTTPS, ce qui rendait l’interception du trafic plus difficile. Pour contourner cela, Kunze a utilisé un téléphone rooté et un script Frida pour contourner l’épinglage SSL et intercepter avec succès le trafic chiffré. Il a ensuite examiné le processus de liaison entre un Chromecast et une application Google Home, et a pu le répliquer pour lier avec succès son compte à un appareil Google Home.

En examinant les informations sur le réseau, Kunze a découvert qu’une requête POST était envoyée à un point de terminaison spécifique sur les serveurs de Google avec une charge utile Protocol Buffers, qu’il a pu décoder à l’aide de l’outil de protocole. En modifiant cette demande et en remplaçant les informations du Chromecast par les informations du Google Home, il a pu lier avec succès un nouveau compte au Google Home. Il a ensuite créé un script Python qui utilisait la bibliothèque gpsoauth et a. proto pour recréer le processus de liaison d’un nouveau compte à un appareil Google Home sans avoir besoin de l’application.

Le chercheur a découvert qu’il est facile de déconnecter un appareil à proximité de son réseau Wi-Fi en envoyant un paquet « deauth » à l’appareil cible et en le mettant en mode « configuration ». Le Google Home Mini ne prend pas en charge les trames de gestion chiffrées (802.11w ou WPA3), ce qui le rend vulnérable à ce type d’attaque. Le chercheur l’a démontré en utilisant aircrack-ng pour lancer une attaque mortelle sur son Google Home, l’amenant à se déconnecter du réseau et à créer le sien. Kunze a pu se connecter au nouveau réseau et utiliser netstat pour obtenir l’adresse IP du routeur (le Google Home) et émettre avec succès une demande d’API locale.

C’est ainsi que le chercheur a réussi à se connecter à distance à son Google Home Mini et à le contrôler. Il a également observé que la victime ne remarquerait peut-être aucune activité inhabituelle, car la LED de l’appareil deviendra bleue fixe, ce qui est généralement associé aux mises à jour du micrologiciel, et l’indicateur d’activation du microphone ne clignotera pas pendant un appel.

Voici à quoi cela ressemble lorsqu’un appel est lancé à distance –

Kunze a résumé un scénario d’attaque possible comme suit :

1. L’attaquant souhaite espionner la victime. L’attaquant peut se trouver à proximité sans fil de Google Home (mais n’a PAS le mot de passe Wi-Fi de la victime).
2. L’attaquant découvre le Google Home de la victime en écoutant les adresses MAC avec des préfixes associés à Google Inc. (par exemple E4:F0:42).
3. L’attaquant envoie des paquets morts pour déconnecter l’appareil de son réseau et le faire entrer en mode de configuration.
4. L’attaquant se connecte au réseau de configuration de l’appareil et demande ses informations sur l’appareil.
5. L’attaquant se connecte à Internet et utilise les informations obtenues sur l’appareil pour lier son compte à l’appareil de la victime.
6. L’attaquant peut désormais espionner la victime via son Google Home sur Internet (plus besoin d’être à proximité de l’appareil).

Kunze a également publié trois preuves de concept (POC) sur GitHub, bien qu’aucune d’entre elles ne fonctionne plus car Google a déjà corrigé les failles de sécurité. Le référentiel sert plutôt de documentation et de préservation des exemples.

Google a corrigé les vulnérabilités en avril 2021 avec un correctif qui comprenait un nouveau système basé sur les invitations pour gérer les liens de compte et bloquait toutes les tentatives non ajoutées sur l’appareil domestique. Le correctif a également rendu impossible la désauthentification de l’appareil d’une manière qui pourrait être utilisée pour lier un nouveau compte et a rendu l’API locale inaccessible. De plus, Google a ajouté une protection pour empêcher l’initiation à distance de la commande « appeler [numéro de téléphone] » via des routines.

Il convient de noter que ces vulnérabilités étaient présentes pendant un temps considérable avant d’être découvertes et corrigées, car Google Home a été publié en 2016 et les vulnérabilités n’ont été corrigées qu’en 2021.

Les appareils domestiques intelligents sont de plus en plus courants dans les foyers et offrent des caractéristiques et des fonctionnalités pratiques, mais ils présentent également des risques potentiels pour la vie privée et la sécurité des utilisateurs. Il est important que les fabricants accordent la priorité à la sécurité dans le développement de ces appareils afin de protéger la vie privée des utilisateurs et de prévenir les abus potentiels.

Kunze a été récompensé par une prime de bogue de 107 500 $ pour son travail.

Source : Matt Kunze via : The Hacker News , Bleeping Computer

Pour ceux qui souhaitent participer à des programmes de primes de bogues et aider à identifier et à signaler les vulnérabilités de sécurité, Google propose une plate-forme appelée Google Bug Hunter.

En savoir plus en cliquant ici .