2022-12-30 15:39:02
亚汇网了解到,在GoogleHome智能音响设备上发现了一个漏洞,攻击者可以利用该漏洞安装后门账户,用于远程控制并可激活麦克风用于监听用户对话。昆茨在本周早些时候披露了该漏洞的所有技术细节,以及如何利用该漏洞。昆茨通过Nmap扫描,找到了GoogleHome本地HTTPAPI的端口。于是他设置了一个代理来捕获加密的HTTPS流量,希望劫持用户授权令牌。研究人员发现,向目标设备添加新用户需要两个步骤,需要设备名称、证书和来自其本地API的“云ID”。有了这些信息,他们就可以向谷歌服务器发送链接请求。更令人担忧的是,研究人员找到了一种滥用“call[电话号码]”命令的方法,将其添加到恶意例程中,该例程会在指定时间激活麦克风,呼叫攻击者的号码并发送实时麦克风馈送。昆茨于2021年1月发现了这些问题,并于2021年3月发送了更多详细信息和PoC。谷歌于2021年4月修复了所有问题。
您正在访问亚汇网香港分站,本站所提供的内容均遵守中华人民共和国香港特别行政区法律法规。
