Mercado abrirá em 6 h 56 min
  • BOVESPA

    113.430,54
    +1.157,53 (+1,03%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    54.564,27
    +42,84 (+0,08%)
     
  • PETROLEO CRU

    79,24
    +0,37 (+0,47%)
     
  • OURO

    1.941,60
    -3,70 (-0,19%)
     
  • BTC-USD

    23.145,22
    +269,19 (+1,18%)
     
  • CMC Crypto 200

    524,33
    +5,54 (+1,07%)
     
  • S&P500

    4.076,60
    +58,83 (+1,46%)
     
  • DOW JONES

    34.086,04
    +368,95 (+1,09%)
     
  • FTSE

    7.771,70
    -13,17 (-0,17%)
     
  • HANG SENG

    21.902,35
    +60,02 (+0,27%)
     
  • NIKKEI

    27.344,52
    +17,41 (+0,06%)
     
  • NASDAQ

    12.110,25
    -41,75 (-0,34%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,5184
    +0,0028 (+0,05%)
     

Google Home | Bug em caixas de som permitia ouvir conversas de usuários

Uma brecha de segurança grave nos alto-falantes da linha Google Home poderia permitir que um atacante ouvisse as conversas dos usuários. O ataque envolvia falhas no registro de novos utilizadores dos dispositivos, com a inserção de pacotes maliciosos e buscas por endereços de rede específicos permitindo que a espionagem acontecesse remotamente, além de permitir o controle de outros dispositivos conectados e até a obtenção de senhas de portas ou a realização de compras online.

Os detalhes técnicos foram revelados somente agora, mais de um ano depois da descoberta e correção do problema, como forma de garantir que todos os aparelhos em uso estejam devidamente atualizados. De acordo com o especialista, para iniciar a espionagem, era preciso que o atacante estivesse ao alcance do Wi-Fi da vítima; mesmo sem ter a senha da rede, ele poderia obter o endereço MAC do dispositivo Google Home, que recebia pacotes que geram desconexão e a entrada no modo de configuração a partir da vulnerabilidade.

Era aí que a intrusão acontecia, com o responsável pelo ataque registrando um usuário próprio no alto-falante, que passaria a ser acessível remotamente. A partir daí, seria possível abusar de um recurso de chamadas telefônicas do dispositivo, com o sinal de áudio sendo compartilhado; a única indicação de que algo de estranho estava acontecendo seria a exibição da cor azul no LED da caixa, também usada, mas em ritmo pulsante, durante atualizações de sistema.

Além disso, outras ações também poderiam ser realizadas na rede, com o atacante assumindo o controle de dispositivos conectados e podendo, por exemplo, abrir portas e veículos, manipular termostatos, eletrodomésticos e outros aparelhos. Ainda, a partir de explorações adicionais, seria possível conseguir a senha de fechaduras eletrônicas e alterar arquivos na memória dos dispositivos com Google Home, permitindo a instalação de malware.

Em dinâmicas menos ameaçadoras, um criminoso com esse tipo de acesso também poderia tocar músicas no alto-falante, esquecer ou registrar redes Wi-Fi, adicionar novos dispositivos sem fio que estivessem ao alcance ou alterar as configurações do dispositivo Google Home. Nestes casos, claro, a exploração seria mais facilmente descoberta.

A exploração não é mais possível, após a dinâmica do ataque ter sido compartilhada com o Google em janeiro de 2021 e corrigida em março do ano passado por meio de uma atualização no firmware dos dispositivos. Pela descoberta da brecha, o pesquisador em segurança digital Matt Kunze recebeu US$ 107,5 mil, um valor equivalente a R$ 568,3 mil em conversão direta; não existem relatos de exploração da abertura, enquanto esteve ativa, por cibercriminosos.

Como medidas de segurança para extinguir o problema, o Google mudou a dinâmica de registro de contas do Google Home, usando um sistema de convites que bloqueia perfis adicionados sem a chamada por um usuário atual. O comando de realização de chamadas telefônicas também não funciona mais a partir de solicitações remotas, enquanto o acesso a dados do sistema e memória dos alto-falantes se tornou mais protegido.

Fonte: Canaltech

Trending no Canaltech: