美国安全专家发现 Google Home 严重漏洞获得谷歌 107500 美元赏金

 12 月 30 日消息,安全研究专家马特・昆茨(Matt Kunze)去年向谷歌报告了 Google Home 的严重漏洞,近期获得了谷歌 107500 美元(约 74.9 万元人民币)的高额赏金。

美国安全专家发现 Google Home 严重漏洞获得谷歌 107500 美元赏金插图

据了解到,在 Google Home 智能音响设备上发现了一个漏洞,攻击者可以利用该漏洞安装后门账户,用于远程控制并可激活麦克风用于监听用户对话。昆茨在本周早些时候披露了该漏洞的所有技术细节,以及如何利用该漏洞。

昆茨通过 Nmap 扫描,找到了 Google Home 本地 HTTP API 的端口。于是他设置了一个代理来捕获加密的 HTTPS 流量,希望劫持用户授权令牌。

美国安全专家发现 Google Home 严重漏洞获得谷歌 107500 美元赏金插图1
美国安全专家发现 Google Home 严重漏洞获得谷歌 107500 美元赏金插图2

研究人员发现,向目标设备添加新用户需要两个步骤,需要设备名称、证书和来自其本地 API 的“云 ID”。有了这些信息,他们就可以向谷歌服务器发送链接请求。

更令人担忧的是,研究人员找到了一种滥用“call [电话号码]”命令的方法,将其添加到恶意例程中,该例程会在指定时间激活麦克风,呼叫攻击者的号码并发送实时麦克风馈送。

昆茨于 2021 年 1 月发现了这些问题,并于 2021 年 3 月发送了更多详细信息和 PoC。谷歌于 2021 年 4 月修复了所有问题。

给TA打赏
共{{data.count}}人
人已打赏
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
在线客服
主机帮
我们将24小时内回复。
2024-12-13 04:48:19
您好,有任何疑问请与我们联系!
您的工单我们已经收到,我们将会尽快跟您联系!
[QQ客服]
176363189
当幸福来敲门
[小黄]
17307799197
[企业邮箱]
sudu@yunjiasu.cc
取消

选择聊天工具: