谷歌智能音箱曝后门,可允许黑客窥探对话

阅读量94306

发布时间 : 2022-12-30 11:00:31

日前,Google Home智能音箱中的一个漏洞允许安装一个后门帐户,该帐户可用于远程控制它,并通过访问麦克风馈送将其变成一个窥探设备。

据悉,一位安全研究员在试验Google Home 迷你扬声器时,发现使用Google Home应用程序添加的新帐户可以通过云API向其远程发送命令,随后通过Nmap扫描,找到Google Home本地HTTP API端口,并设置了一个代理来捕获加密的HTTPS流量,进而抢夺用户授权令牌。

研究人员还发现,向目标设备添加新用户是一个两步过程,需要设备名称、证书和来自其本地API的“云 ID”。有了这些信息,他们就可以向谷歌服务器发送链接请求。

为了将流氓用户添加到目标 Google Home 设备,分析师在Python脚本中实现了链接过程,该脚本自动泄露了本地设备数据并再现了链接请求。[阅读原文]

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/284820

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66