Один хакер “шокований” вразливостями в домашньому хабі Google Home Hub

Однією з перешкод на шляху впровадження розумних колонок є побоювання, що цифрові помічники, які вони носять з собою, і супутнє їм апаратне забезпечення схильні до вторгнення. Природно, виробники стверджують, що вони абсолютно безпечні. Але на цьому тижні один популярний хакер з цим не згоден.

На цьому тижні Джеррі Гамблін створив детальний пост, який розкриває деякі обмежені, але потенційно небезпечні слабкі місця в платформі Google Home. Дослідження показало, що принаймні до тих пір, поки Google не виправить ситуацію, хабом Google Home Hub можна керувати віддалено за допомогою незахищеного прикладного програмного інтерфейсу (API), який спочатку був виявлений в Chromecasts.

Google стверджує, що API призначений для налаштування пристрою і не розкриває інформацію про користувача, тоді як його основне використання – це зв’язок з іншими пристроями. Але Гамблін чітко заявляє, що його гіпотеза полягає в тому, що ці слабкі місця добре відомі Google.

• Найкращі поради та рекомендації щодо Amazon Echo
• Google розгортає підтримку Matter для Nest і Android
• Apple TV: Ціна, залізо, програмне забезпечення та інше

“Я дійсно шокований тим, наскільки низькою є загальна безпека цих пристроїв, тим більше, коли бачиш, що ці кінцеві точки були відомі протягом багатьох років і відносно добре задокументовані”, – пише він. “Зазвичай я б працював безпосередньо з Google, щоб повідомити про ці проблеми, якби вони раніше не розкрили їх, але через величезну кількість попередньої роботи в Інтернеті і фіксованого коду в їх власній кодовій базі, очевидно, що вони знають”.

Злом не охоплює всі команди для Google Home Hub, але це, безумовно, є ризиком для безпеки. Команди, які детально описує Гамблін, можуть дозволити будь-кому перезапустити весь Home Hub, видалити поточну налаштовану бездротову мережу або відключити сповіщення, наприклад, прив’язані до пристроїв безпеки, таких як замки та сигналізації.

Android Authority звернулася до Google, яка заявила:

“Всі пристрої Google Home розроблені з урахуванням безпеки та конфіденційності користувачів і використовують апаратний захищений механізм завантаження, який гарантує, що на пристрої використовується тільки код, аутентифікований Google. Крім того, будь-яка комунікація, що містить інформацію про користувача, аутентифікується та шифрується.

Нещодавня заява про безпеку Google Home Hub не відповідає дійсності. API, згадані в цій заяві, використовуються мобільними додатками для налаштування пристрою і доступні тільки тоді, коли ці додатки і пристрій Google Home знаходяться в одній мережі Wi-Fi. Незважаючи на те, що було заявлено, немає ніяких доказів того, що інформація користувачів знаходиться під загрозою”.

Таким чином, по суті, Google підтверджує те, що стверджує Гамблін, але попереджає людей, щоб їх домашня мережа не була скомпрометована.

Рекомендації редакції

• Amazon додає підтримку Matter до 17 пристроїв Echo
• Кращі пристрої для розумного будинку на 2022 рік
• Найкращі поради, підказки та писанки для Google Home
• Ikea та Sonos співпрацюють над новою підлоговою колонкою Symfonisk
• Google тепер підтримує мої жахливі звички в браузері, і мені це подобається

Source: digitaltrends.com