9:44
2/1/2023

Wiadomo, że urządzenia “smart” mogą być podsłuchem w domu, ale na to zagrożenie patrzono jak na przypadkowe incydenty. Ot, coś się nagrało i zostało gdzieś przesłane, albo mogli to słyszeć pracownicy wspierający “trening AI”. Rzadziej myślimy o tym, że ktoś mógłby zhackować takie urządzenia i użyć ich do podsłuchu. Pewien badacz udowodnił, że to możliwe i to nie na urządzeniach “noname”.

Matt Kunze odkrył podatność w głośnikach Google Home, która pozwalała nawet na podsłuchiwanie. Google zapłaciło Mattowi 107,5 tys. dolarów za odkrycie i odpowiedzialne zgłoszenie podatności, a szczegóły techniczne zostały opisane na blogu badacza. Ataki próbne zostały przeprowadzone na urządzeniach Google Home Mini, ale prawdopodobnie byłyby możliwe również na innych modelach.

Złośliwe łączenie konta z urządzeniem

Matt Kunze przyglądał się urządzeniom Google Home z perspektywy użytkownika, a później badacza. Przyszło mu do głowy, że gdy już dojdzie do powiązania konta użytkownika z urządzeniem to nowy użytkownik od razu może zrobić wiele. Zbyt wiele. Matt postanowił poszukać jakiegoś sposobu na nadużycie tego procesu tj. chciał powiązać urządzenie z kontem potencjalnego “atakującego”.

W swoich poszukiwaniach Matt zwrócił się w stronę ataków “man-in-the-middle” (MITM) i wziął na celownik nie tyle urządzenie co aplikację Google Home. Poszperał trochę w sieci o tym produkcie i to naprowadziło go na różne skrawki wiedzy, m.in. na konto na Githubie z nieoficjalną dokumentacją lokalnego API. Kolejnym krokiem było użycie Nmapa do ustalenia portów, na których działa HTTP API. I tak od łyczka do rzemyczka Matt ustalił, że endpointy API wymagają tokena autoryzacyjnego. Skąd go wziąć? Wskazane w dokumentacji sposoby uzyskania tokena wymagały, aby konto użytkownika było już wcześniej powiązane z urządzeniem. Co więcej, okazało się iż Google korzysta już z HTTPS, a zatem trzeba było sobie poradzić z przechwyceniem ruchu szyfrowanego. Okazało się to jednak wykonalne.

Screenshot z bloga: downrightnifty.me

Następnie Matt przyjrzał się procesowi dodawania nowego użytkownika do urządzenia. Pomogło mu to, że na konferencji DEFCON było mowa o wykorzystywaniu w urządzeniach Google Home tych samych rozwiązań, które były stosowane w urządzeniach Chromecast. Następnie badacz ustalił, że proces wiązania urządzeń z użytkownikami jest dwuetapowy tzn. wymagał uzyskania informacji o urządzeniu przez lokalne API (w tym nazwy urządzenia, ceryfikatu oraz “cloud ID”), a następnie wysłanie odpowiedniego żądania do serwera Google wraz z tymi informacjami. Matt rozpracował ten proces.

Ostatnim etapem badań było stworzenie skryptu w Pythonie, który automatycznie uzyskiwał potrzebne informacje z urządzenia i używał ich do wysłania żądania powiązania konta atakującego z danym urządzeniem. Szczegóły techniczne znajdziecie oczywiście na blogu Matta Kunze, a teraz odpowiedzmy na kluczowe pytania z punktu widzenia bezpieczeństwa.

Co mógł zrobić atakujący?

Po przejęciu kontroli nad urządzeniem atakujący teoretycznie mógł:

  • kontrolować inteligentne przełączniki zainstalowane w domu,
  • otwierać drzwi do garażu (o ile miałyby funkcje “smart”),
  • dokonywać zakupów online,
  • odblokowywać lub uruchamiać pojazdy (!)
  • otwierać zamki z funkcjami smart poprzez bruteforce PIN-ów (!!!).

Oczywiście podatność danego domostwa na takie ataki byłaby zależna od liczby i rodzaju innych używanych urządzeń smart. Na tym jednak możliwości atakującego się nie kończyły bo mógł on wykorzystać pewne niedociągnięcia w logice badanej technologii.

Podsłuchiwanie okazało się możliwe z wykorzystaniem funkcji tworzenia zadań powtarzalnych (routines). Matt stworzył na badanym urządzeniu zadanie rutynowe typu “dzwoń na numer [tutaj numer] w środy o godzinie [tutaj godzina]”. Urządzenie o dziwo wykonało “zadanie” czyli właśnie połączenie, a wtedy atakujący mógł podnieść słuchawkę i słuchać (oczywiście w ramach testów Matt podsłuchiwał sam siebie).

Na tym etapie wyobraźnia może wam podsunąć kolejne, ciekawsze scenariusze ataków. Takie, w których np. dochodzi do zainstalowania złośliwej aplikacji na telefonie z Androidem, a aplikacja wykorzystuje podatności w Google Home do szpiegowania przez to urządzenie. Matt koniec końców opracował on trzy ataki Proof of Concept, których kod znajdziecie na Githubie (wykorzystują Pythona, JavaScript i HTML). Przewidują one m.in. scenariusze: szpiegowania ofiary i odczytywania lub zapisywania dowolnych plików na jej urządzeniu. Możliwe byłoby także wyrządzanie różnych drobnych złośliwości jak np. zapominanie sieci Wi-Fi, restartowanie urządzenia itd.

Używam Google Home. Co robić? Jak żyć?

To co zrobił Matt Kunze było kawałem dobrej badawczej roboty poprzedzonej analizą wcześniejszych odkryć w dziedzinie atakowania Chromecastów, badania używanych API itd. Matt skorzystał nawet z pewnych ustaleń poczynionych przez tych badaczy, którzy opracowali nieco futurystyczny atak Light Commands.  Nie jest to zatem coś, co mógłby zrobić przeciętny przestępca. Teraz, gdy Matt opisał sprawę, problem jest załatany. Wykrycie błędu i wprowadzenie poprawek nastąpiło już w zeszłym roku. Dopiero teraz Matt ujawnił szczegóły techniczne i dlatego o tym piszemy.

Firma Google zareagowała jak należy. Podziękowała Mattowi za odkrycie, zapłaciła mu i wdrożyła zabezpieczenia. Poprawiono nie tylko proces wiązania urządzenia z kontem, ale dokonano zmian w działaniu funkcji wykonywania połączeń telefonicznych. Teraz nie da się tego zrobić przez zadania rutynowe, a pozwolenie na to było ewidentnym błędem. Ta funkcja mogła być nadużywana również przez ludzi mających dostęp do urządzenia. Co prawda dioda na urządzeniu informowała o trwającej rozmowie, ale ofiara mogła tego nie zauważyć.

Mówiąc krótko – błąd odkryto i załatano. Czy to znaczy, że urządzeniom IoT można od teraz bezgranicznie ufać? Naszym zdaniem nie. I nie chodzi o to, że chcemy was zniechęcać do nowych gadżetów. Po prostu radzimy uwzględniać ich funkcje w analizach ryzyka, a takie analizy powinien dla siebie przeprowadzić każdy.

W celu dodatkowego przemyślenia zagrożeń stwarzanych przez IoT proponujemy wam historyjkę o tym jak odkurzacz Roomba zrobił zdjęcie kobiecie w toalecie i skończyło się to opublikowaniem fotki w social mediach. To nie odkurzacz opublikował fotkę, ale pracownicy firmy Scale AI zatrudnieni do oznaczania nagrań robionych przez urządzenia w celu trenowania sieci neuronowych. Fotka trafiła na zamknięte grupy na Facebooku, ale dziennikarze i tak się o niej dowiedzieli. Pocieszające jest to, że zdjęcia analizowane przez Scale AI miały pochodzić z limitowanych wersji rozwojowych odkurzaczy, a nie z produktów konsumenckich. Tak czy owak warto pamiętać, że za każdą sztuczną inteligencją bazującą na urządzeniach w naszych domach mogą stać ludzie, którzy nie zawsze zachowają się jak należy.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

13 komentarzy

Dodaj komentarz
  1. O, to w końcu, po latach bełkotu marketingowego urządzenia naprawdę stały się smart! Czyli zamiast zwykłej automatyki “włącz lampkę jak otworzę drzwi” to można ich użyć do smart-zadań “głośniczku – powiedz o czym rozmawia mój mąż z kochanką, gdy jestem w pracy, odkurzaczyku – cyknij fotkę w łazience jak spotkasz nową osobę gdy nie ma mnie w domu”…

    • co ty gadasz, idioto

  2. Tu chyba nie chodzi o to, że “że za każdą sztuczną inteligencją bazującą na urządzeniach w naszych domach mogą stać ludzie”, tylko że oszalały marketing dyktuje wypuszczanie co chwila nowego urządzenia, a łatanie starych każdy ma centralnie w dziupli.
    Btw, dlaczego, na Belzebuba i sto tysięcy demonów crona, głupi odkurzacz w ogóle miał aparat?

    • Kamery używa po to żeby nie uderzać w przeszkody tylko zwalniać i dokładniej jeździć

    • Przecież to nie są AI ani smart tylko zaprogramowane.

  3. Wszystko co “robisz w domu” traktuj jako publicznie dostępne. Zawsze. Dla wszystkich.

    :)

    Witamy w roku 2023

  4. A dlaczego ten sam tekst (trochę okrojony) przed chwilą przeczytałem na dobrych programach (raczej nie są dobre skoro same nic nie napiszą)? Niby napisali, że to od Was, ale czy tak można? Czy tak wypada?

  5. >(…)Kamery używa po to żeby nie uderzać w przeszkody tylko zwalniać i dokładniej jeździć(…)

    Co jest akurat najtrudniejszą możliwą metodą wykonania tego zadania. Każdy inny sensor, który potrafi podać odległość albo wykreślić profil odległości na poziomie urządzenia będzie lepszy do tego celu, bardziej niezawodny i zdecydowanie prostszy w wykonaniu.

    A już pół żartem, będąc dzieckiem miałem takie AI w czysto mechanicznej zabawce. Wyglądała jak taki odkurzacz, huczała jak odkurzacz i pięknie omijała przeszkody. Wszystko dzięki AI opartemu o luźne kółko, niesymetryczny obrotowy napęd i sprężynkę.

    Tak gwoli przypomnienia, że nie zawsze najbardziej nowoczesne rozwiązanie jest najlepsze.

    • Oczywiście że firmy tak robią, niektóre wychodzą z założenia że lepiej zatrudnić hindusa za 2 USD/h, dać mu monitor i joystick niż zatrudniać cały tabun developerów AI i płacić im kupę pieniędzy za kierowanie małym odkurzaczem

      Znam osobiście jedną firmę która tysiące rezerwacji klientów integrowała z różnych formatów ręcznie zatrudniając kilkanaście osób w Indiach, bo tak było taniej.

      Więc nie zawsze najnowocześniejsze rozwiązanie jest najlepsze

  6. Ja tylko chciałem serdecznie podziękować za zapoznanie czytelników z hasłem “od łyczka do rzemyczka (od rzemyczka do koniczka; będzie szubieniczka)”. Dziękuję!

  7. Cos takiego, urzadzenie inwigilacyjne, da sie uzyc do inwigilacji (nawet prywatnej). Znow szok i niedowierzanie. Kto by sie spodziewal.

  8. Google i cenzura internetu

    https://www.youtube.com/watch?v=8A9hDxxWq9o

  9. Ciekawe czy mój głośnik Alexa też mnie podsłuchuje… ;)

Odpowiadasz na komentarz motto

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: