Les failles « permettaient à un attaquant se trouvant à proximité sans fil d’installer un compte « backdoor » sur l’appareil, ce qui lui permettait d’envoyer des commandes à distance sur Internet, d’accéder à son micro et d’effectuer des requêtes HTTP arbitraires sur le réseau local de la victime », a révélé le chercheur, qui se fait appeler Matt Kunze, dans un article technique publié cette semaine.
En effectuant de telles requêtes malveillantes, le mot de passe Wi-Fi pourrait non seulement être exposé, mais aussi fournir à l’adversaire un accès direct aux autres appareils connectés au même réseau. Après une divulgation responsable le 8 janvier 2021, les problèmes ont été corrigés par Google en avril 2021.
Le problème, en bref, concerne la façon dont l’architecture logicielle de Google Home peut être exploitée pour ajouter un compte utilisateur Google malveillant au dispositif domotique d’une cible.
Dans une chaîne d’attaque détaillée par le chercheur, un acteur de la menace cherchant à écouter une victime peut inciter cette dernière à installer une application Android malveillante qui, lorsqu’elle détecte un appareil Google Home sur le réseau, émet des requêtes HTTP furtives pour relier le compte de l’attaquant à l’appareil de la victime.
Pour aller encore plus loin, il est apparu qu’en mettant en scène une attaque de désauthentification Wi-Fi pour forcer un appareil Google Home à se déconnecter du réseau, il est possible de faire entrer l’appareil en « mode configuration » et de créer son propre réseau Wi-Fi ouvert.
L’acteur de la menace peut ensuite se connecter au réseau de configuration de l’appareil et demander des détails comme le nom de l’appareil, le cloud_device_id et le certificat, et les utiliser pour lier son compte à l’appareil.
Quelle que soit la séquence d’attaque employée, un processus de liaison réussi permet à l’adversaire de profiter des routines de Google Home pour baisser le volume à zéro et appeler un numéro de téléphone spécifique) à un moment donné pour espionner la victime par le biais du microphone de l’appareil.
« La seule chose que la victime peut remarquer, c’est que les LED de l’appareil deviennent bleu fixe, mais elle supposera probablement qu’il s’agit d’une mise à jour du firmware ou autre », a déclaré Kunze. « Pendant un appel, les LED ne pulsent pas comme elles le font normalement lorsque l’appareil est en écoute, il n’y a donc aucune indication que le microphone est ouvert. »
En outre, l’attaque peut être étendue pour effectuer des requêtes HTTP arbitraires au sein du réseau de la victime et même lire des fichiers ou introduire des modifications malveillantes sur l’appareil lié de telle sorte qu’elles seraient appliquées après un redémarrage.
Parmi les correctifs déployés par le géant de l’Internet pour résoudre ces problèmes, citons un mécanisme basé sur des invitations afin de lier un compte Google à l’aide de l’API et la désactivation du lancement à distance de commandes d’appel par le biais de routines.
Ce n’est pas la première fois que de telles méthodes d’attaque sont conçues pour espionner secrètement des cibles potentielles via des appareils à commande vocale.
En novembre 2019, un groupe d’universitaires a divulgué une technique appelée Light Commands, qui fait référence à une vulnérabilité des microphones MEMS permettant aux attaquants d’injecter à distance des commandes inaudibles et invisibles dans des assistants vocaux populaires comme Google Assistant, Amazon Alexa, Facebook Portal et Apple Siri en utilisant la lumière.