Эксперт показал, как с помощью простого трюка превратить Google Home Hub в кусок металла
Исследователь безопасности Джерри Гэмблин (Jerry Gamblin) обнаружил в ассистенте Google Home Hub незадокументированный API, позволяющий устройству получать команды от других систем в одной с ним сети Wi-Fi. С помощью этих команд злоумышленники могут, помимо прочего, перезагрузить Home Hub или даже отключить от сети Wi-Fi, из-за чего может потребоваться повторная настройка вручную с помощью соответствующего приложения.
Причиной проблемы является программный web-интерфейс Home Hub, о существовании которого ранее не сообщалось. Этот API может использоваться компьютером или устройством в одной сети с Home Hub для отправки команд ассистенту без какой-либо аутентификации.
«Я искренне потрясен убогостью общей безопасности этих устройств. […] Как правило, в такой ситуации я сообщил бы о проблемах, если они ранее не раскрывались, непосредственно Google. Однако, судя по большому количеству предшествующей работы online и наличию кода в их собственной кодовой базе, очевидно, что они знают (о проблемах – ред.)», – сообщил Гэмблин.
Представители Google подтвердили изданию The Register, что любое устройство, компьютер или смартфон (в том числе зараженные вредоносным ПО) в одной сети с Home Hub может отправлять ассистенту команды.
Узнать коды для перезагрузки устройства и удаления сети Wi-Fi можно из блога исследователя ( здесь ).
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш