یک مشکل امنیتی مهم در بلندگوی هوشمند Google Home به هکرها اجازه می دهد بدون اطلاع آنها به خانه های کاربران نفوذ کنند.
مت کانزه، محقق امنیتی در ژانویه 2021 پس از آزمایش Nest Mini خود از این مشکل امنیتی مطلع شد. او دریافت که هکرها می توانند با افزودن یک حساب کاربری غیرمجاز به برنامه Home، از راه دور دستگاه را با API کنترل کنند.
مال خودم، هکر برای انجام این کار به نام دستگاه، گواهینامه و شناسه ابری API محلی نیاز دارد. با در دست داشتن همه این موارد، مهاجم می تواند از طریق سرور گوگل درخواست لینک را به دستگاه ارسال کند و پس از ورود به دستگاه به عنوان کاربر، هکرها با چندین سناریو مواجه خواهند شد.
سناریوهایی که Kanze بررسی کرده است شامل توانایی هکر برای جاسوسی از مردم است. آنها همچنین می توانند درخواست های HTTP را به شبکه شما ارسال کنند یا حتی فایل ها را در دستگاه ها بخوانند یا بنویسند.
از طریق باگ Google Home، هکرها می توانند دستور تماس را از راه دور فعال کنند و بنابراین، هر زمان که با تلفن خود تماس می گیرید، می توانند به مکالمات شما در محیط خانه گوش دهند. مال خودم او در یک ویدئو، چندین Nest Mini را با رنگ آبی نشان داد که در حال برقراری تماس است. اما ممکن است همه افراد خانه به این موضوع توجهی نداشته باشند.
علاوه بر این، هکر توانایی کنترل سوئیچهای خانه هوشمند، انجام تراکنشهای آنلاین، باز کردن قفل درب خانه و خودرو و حتی استفاده از پینهای مورد استفاده برای قفلهای هوشمند را به دست میآورد.