Из-за ошибки в колонках Google Home посторонние могут прослушивать владельца
Это обнаружил исследователь безопасностиЭксперт просканировал Nmap и обнаружил порт локального HTTP API Google Home. Далее исследователь настроил прокси-сервер для захвата зашифрованного HTTPS-трафика, чтобы перехватывать токены авторизации пользователя.
В результате этих действий выяснилось, что добавление нового пользователя на нужное устройство — двухэтапный процесс. Для этого необходимы имя устройства, сертификат и «облачный идентификатор» из локального API пользователя. С помощью этой информации можно отправить запрос на ссылку на сервер Google.
Вот это и вызвало тревогу: стало очевидно, что можно злоупотребить командой «позвонить» и добавить её во вредоносную процедуру, активирующую микрофон в нужное время. При этом по команде колонка звонит по номеру злоумышленника и отправляет прямую трансляцию с микрофона.
Как отмечается, все эти проблемы Google уже исправила.