Teknik

Google, akıllı hoparlör zafiyetini keşfedene 107 bin dolar bug bounty ödülü verdi

Google, akıllı hoparlör zafiyetini keşfedene 107 bin dolar bug bounty ödülü verdiGoogle, Google Home Mini adlı akıllı hoparlöründe keşfedilen güvenlik zafiyetini şirketle paylaşan güvenlik araştırmacısına 107.500 dolar ödedi.

Güvenlik araştırmacısı Matt Kunze, kablosuz ağ yakınındaki bir saldırganın cihazda sahte hesap oluşturup çeşitli eylemler gerçekleştirmek için istismar edilebilir olduğunu kanıtladı.

ABD’li teknoloji devinin piyasaya sunduğu Google Home Mini akıllı hoparlörü, Google Asistan ile entegre bir şekilde evinizdeki akıllı cihazları yönetmesiyle biliniyor. 

Işıkları açıp kapatmaktan müzik açmaya, televizyonları sesle yönetmekten soracağınız soruların cevaplarına, yemek söylemekten arama yapmaya kadar birçok fonksiyona sahip olan bu cihazlar günümüzde oldukça popüler.

Google Bug Bounty’de kesenin ağzını açtı: Zafiyeti bulana 31 bin dolar ödül!

Güvenlik araştırmacısı Matt Kunze ise söz konusu cihazda bir saldırganın sahte bir hesap oluşturup bu hesabı kullanarak cihaza internet üzerinden uzaktan komutlar gönderilebileceğini, mikrofona erişilebileceğini, yerel ağda rastgele HTTP istekleri göndererek Wi-Fi şifresini açığa çıkarabileceğini veya cihazın bağlı olduğu diğer cihazlara doğrudan erişebileceğini ortaya çıkardı.

ZAFİYETİN PoC’Sİ YAYIMLANDI

Matt Kunze, bir saldırganın kurbanları gözetlemek, kurbanın ağında keyfi HTTP istekleri göndermek ve hatta bağlantılı cihazdaki keyfi dosyaları okumak veya yazmak için bu sorunlardan nasıl yararlanabileceğini gösteren kavram kanıtı (PoC) paylaştı.

Kunze, “Bir saldırganın bağlantı sürecini kurcalayarak bir hesabı Google Home uygulaması olmadan akıllı hoparlöre nasıl bağlayacağını düşünerek hareket ettim.” diyerek keşfettiği zafiyeti nasıl bulduğunu aktardı.

Kunze, bunu yapmak için “Hesap bağlama sırasındaki HTTP isteklerine müdahale ederek temel cihaz bilgilerinin yerel API aracılığıyla alınmasının ardından Google’ın sunucularına cihaz bilgilerini içeren bir bağlantı isteği gönderilmesini ve bağlantı isteği yükündeki dizgeleri sahtelerle değiştirerek arka kapı oluşturabildiğini” ifade etti.

Kunze, daha sonra da Google Home uygulaması olmadan bağlantı sürecini yeniden uygulamak ve akıllı hoparlörün kontrolünü ele geçirmek adına gerekli yükü oluşturmak için bir Python betiği oluşturduğunu söyledi.

Söz konusu zafiyeti istismar edebilen bir saldırgan cihaz üzerinde uzaktan sesli komutlar çalıştırabiliyor, zararlı rutinler oluşturabiliyor, aramalar yapabiliyor, bağlı cihazlara erişebiliyor.

GOOGLE ZAFİYETİ GİDERDİ

Google Home Mini akıllı hoparlöründeki zafiyeti ilk olarak Ocak 2021’de Google’a bildirdiğini belirten Kunze daha sonra Google’ın zafiyeti giderdiğini belirtti.

Google Home cihazının yetkisini kaldırmak hâlâ mümkün olsa da ‘kurulum modu’ artık hesap bağlantısını desteklemiyor. Üstelik Google, akıllı hoparlörlere başka korumalar da eklendi.

Google, hem Nest hem de Fitbit cihazlarındaki güvenlik açıkları için sunulan ödülleri artırdıktan bir ay sonra, Mayıs 2022’de araştırmacıya bir de bonus verdi.

Hiçbir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Başa dön tuşu