Un investigador ha decubrió con un ‘script’ desarrollado por Python un error en los altavoces de Google Home, que ofrecía la posibilidad de instalar una cuenta de puerta trasera para controlar estos dispositivos en remoto y espiar las conversaciones de los usuarios.

Python es un lenguaje de programación utilizado en buena parte de las aplicaciones web, el desarrollo de ‘software’, la ciencia de datos y el ‘machine learning’. Es de descarga gratuita y se puede utilizar en todos los sistemas.

Un investigador llamado Matt Kunze ha anunciado que recientemente ha recibido una compensación económica de parte de Google por uno de sus últimos hallazgos, centrado en los altavoces inteligentes de Google Home.

Concretamente, Kunze ha recibido 107.500 dólares (unos 100.615 euros al cambio actual) por haber descubierto un error en estos dispositivos que permitía la instalación de una cuenta de puerta trasera y que los ciberdelincuentes podrían haber aprovechado para controlarlos en remoto y espiar conversaciones de sus usuarios.

El investigador, que utilizó un ‘script’ de Python para aceder al sistema de estos dispositivos, utilizó para su experimento un Google Home Mini, aunque ha reconocido que este tipo de ataques ofrecieron los mismos resultados en otros modelos de la marca.

En primer lugar, Kunze ha insistido en que al comienzo de su investigación notó «lo fácil que era agregar nuevos usuarios al dispositivo desde la aplicación Google Home», así como vincular una cuenta al dispositivo, tal y como se puede leer en su blog.

Con ello, ha expuesto las distintas rutas por las que pueden optar los ciberdelincuentes para acceder a los altavoces desarrollados por Google.

También se pueden interceptar las comunicaciones entre la aplicación y el dispositivo o entre estos y los servidores del proveedor mediante un ataque conocido como de intermediario (MitM, por sus siglas en inglés).

El investigador utilizó la aplicación de Google Home y se percató de que a través de ella se podían enviar comandos de forma remota a través de la interfaz de programación de aplicaciones (API, por sus siglas en inglés) en la nube. Entonces, usó un escaneo de Nmap para encontrar el puerto de la API HTTP local del dispositivo y configuró un proxy para capturar el tráfico HTTPS cifrado.

Una vez obtenidos estos datos, supo que el proceso de agregar un nuevo usuario al dispositivo de destino requería tanto el nombre de este como el certificado y la ID de la nube de la API local. Concretamente, para agregar un usuario malintencionado implementó esa conexión en un script de Pyhton, que reprodujo la solicitud de vinculación.

En este sentido, Kunze describe el escenario de ataque más probable en caso de que los ciberdelincuentes hubiesen aprovechado dicha puerta trasera. Primero indica que, cuando los atacantes buscan espiar a sus víctimas dentro de la proximidad de Google Home, logra acceder a sus identificadores únicos o MAC.

A continuación, el atacante envía paquetes de desautorización para desconectar el dispositivo de la red WiFi y desplegar el modo de ‘Configuración’. Después, se conecta a esta otra configuración y solicita la información del dispositivo (nombre, certificado e ID de la nube).

Tras conectarse a internet y hacer uso de los datos del usuario, vincula su cuenta al dispositivo de la víctima. A partir de entonces, ya puede espiar a la víctima sin tener que estar cerca del dispositivo, sino únicamente a través de Google Home o internet.

El investigador ha publicado tres demostraciones de concepto (PoC, por sus siglas en inglés) en GitHub para estas acciones, aunque ha subrayado que estas no deberían funcionar en los dispositivos Google Home que ejecutan la última versión de su ‘firmware’.

Conviene mencionar que Kunze descubrió este fallo de seguridad en enero de 2021 e informó a la compañía de este problema en marzo de 2021. Tan solo un mes después, en abril, Google ya había solucionado este problema con un parche de seguridad.

No obstante, tal y como adelantan en Bleeping Computer, Google Home se lanzó en 2016 y las rutinas programadas de sus altavoces inteligentes tan solo dos años después, por lo que los atacantes se habrían podido aprovechar de esta vulnerabilidad durante años.