"האח הגדול" לא רק פוקח עין – גם מאזין

חוקר אבטחה זכה בפרס בסך של 107,500 דולרים, על שזיהה בעיות אבטחת מידע ב-Google Home – רמקולים החכמים של גוגל. הבעיה מאפשרת להאקרים לנצל אותה כדי להתקין דלתות אחוריות ולהפוך את הרמקולים למכשירי האזנת סתר.

החוקר, המכונה "מאט", כתב בהסבר טכני שפרסם, כי "הפגמים מאפשרים לתוקף, אם הוא נמצא בסמוך, להתקין באופן אלחוטי חשבון 'דלת אחורית' במכשיר, מה שנותן לו יכולת לשלוח פקודות מרחוק דרך האינטרנט, לגשת לנקודת ההזנה של המיקרופון של הקורבן, ולבצע בקשות HTTP שרירותיות ברשת ה-LAN שלו".

בעת הגשה של בקשות זדוניות כאלה, לא רק שסיסמת ה-Wi-Fi עלולה להיחשף, אלא גם ביכולתה לספק להאקר גישה ישירה למכשירים אחרים המחוברים לאותה רשת. הבעיה התגלתה בראשונה על ידי גוגל בינואר 2021, ותוקנה על ידה  כעבור שלושה חודשים.

מומחי אבטחה הסבירו, כי הבעיה קשורה לאופן שבו ניתן למנף את ארכיטקטורת התוכנה של Google Home כדי להוסיף חשבון משתמש זדוני של גוגל למכשיר הביתי של היעד.

כך, הסביר החוקר "מאט", שתיאר את שרשרת התקיפה, "שחקן איום המעוניין לצותת לקורבן יכול להערים עליו ולשכנעו להתקין אפליקציית אנדרואיד זדונית. זו, לאחר שזוהתה על ידי מכשיר Google Home ברשת, מנפיקה בקשות HTTP, שבסופן, החשבון של התוקף מחובר למכשיר של הקורבן. כך, במתקפה שכזו, המשלבת ביטול של אימות Wi-Fi ומאלצת את מכשיר Google Home להתנתק מהרשת, ניתן לגרום למכשיר להיכנס ל"מצב הגדרה" וליצור רשת Wi-Fi פתוחה משלו. אז שחקן האיום יכול להתחבר לאותה רשת ולבקש ממנה פרטים מאושרים – ולהשתמש בהם כדי לקשר את החשבון שלו למכשיר. הוא גם יכול להשקיט את המכשיר, ולהתקשר לכל מספר טלפון ספציפי בכל נקודת זמן נתונה, ובדרך זו – לרגל אחר הקורבן דרך המיקרופון של המכשיר.

"מאט" ציין בראיון ל-The Hacker News, כי "הדבר היחיד שהקורבן עשוי להבחין בו הוא שנוריות המכשיר הפכו לכחולות, אבל הוא יניח שכנראה נעשה בו עדכון קושחה או משהו כזה, ולא יקבל שום חיווי שהמיקרופון פתוח". הוא הוסיף, כי "ניתן להרחיב את היקף המתקפה על ידי ביצוע בקשות HTTP שרירותיות ברשת הקורבן, ואז אפילו לקרוא קבצים, או להכניס שינויים זדוניים במכשיר המקושר – ואלה יופעלו לאחר אתחול של המכשיר".

מומחי אבטחה ציינו, כי זו לא הפעם הראשונה שבה נחשף שניתן לעקוב אחר קורבנות באמצעות מכשירים המופעלים בקול. בנובמבר 2019, קבוצת אקדמאים חשפה טכניקה בשם Light Commands, המתייחסת לפגיעות של מיקרופונים של MEMS, המאפשרת לתוקפים להחדיר מרחוק פקודות בלתי נשמעות ובלתי נראות – לעוזרות קוליות פופולריות, כגון אלקסה של אמזון, סירי של אפל, גוגל אסיסטנט ופייסבוק פורטל.