Bleeping Computer 網(wǎng)站披露，Google Home 智能音箱中出現(xiàn)一個(gè)安全漏洞，攻擊者可以利用漏洞安裝后門(mén)賬戶(hù)，遠(yuǎn)程控制音箱，并通過(guò)訪問(wèn)麥克風(fēng)信號(hào)將其變成一個(gè)監(jiān)聽(tīng)設(shè)備。

據(jù)悉，一名研究員在去年發(fā)現(xiàn)這個(gè)漏洞問(wèn)題，并立刻向谷歌報(bào)告，最終還獲得了 107500 美元。本周早些時(shí)候，該研究員公布了有關(guān)漏洞的一些技術(shù)細(xì)節(jié)和攻擊場(chǎng)景，以展示如何利用漏洞。

Google Home 音箱漏洞發(fā)現(xiàn)過(guò)程

這名研究員用 Google Home 音箱做實(shí)驗(yàn)時(shí)，發(fā)現(xiàn)使用 Google Home 應(yīng)用添加的新賬戶(hù)可以通過(guò)云端 API 遠(yuǎn)程向其發(fā)送指令。研究員通過(guò)使用 Nmap 掃描，找到了 Google Home 本地 HTTP API 的端口，于是設(shè)置一個(gè)代理來(lái)捕獲加密 HTTPS 流量，以期獲取用戶(hù)授權(quán)令牌。

捕獲的 HTTPS（加密）流量（downrightnifty.me）

隨后，研究員發(fā)現(xiàn)向目標(biāo)設(shè)備添加新用戶(hù)需要兩個(gè)步驟。首先需要從其本地 API 中獲取設(shè)備名稱(chēng)、證書(shū)和“云 ID”。有了這些信息，便可向谷歌服務(wù)器發(fā)送一個(gè)鏈接請(qǐng)求。

為向目標(biāo) Google Home 設(shè)備添加惡意用戶(hù)，研究員在一個(gè) Python 腳本中實(shí)現(xiàn)了鏈接過(guò)程，該腳本能夠自動(dòng)過(guò)濾本地設(shè)備數(shù)據(jù)并“再現(xiàn)”鏈接請(qǐng)求。

攜帶設(shè)備 ID 數(shù)據(jù)的鏈接請(qǐng)求（downrightnifty.me)

研究員在博客中總結(jié)了攻擊過(guò)程：

• 攻擊者希望在 Google Home 的無(wú)線距離內(nèi)監(jiān)視受害者（但沒(méi)有受害者的Wi-Fi 密碼）。
• 攻擊者通過(guò)監(jiān)聽(tīng)與Google Inc.相關(guān)前綴的 MAC 地址（如 E4:F0:42）發(fā)現(xiàn)受害者的谷歌Home。
• 攻擊者發(fā)送 deauth 數(shù)據(jù)包以斷開(kāi)設(shè)備與網(wǎng)絡(luò)的連接，使其進(jìn)入設(shè)置模式。
• 攻擊者連接到設(shè)備的網(wǎng)絡(luò)設(shè)置，并請(qǐng)求其設(shè)備信息（名稱(chēng)、證書(shū)、云ID）。
• 攻擊者連接到互聯(lián)網(wǎng)之后，使用獲得的設(shè)備信息將其賬戶(hù)鏈接到受害者的設(shè)備上。
• 這時(shí)候，攻擊者就可以通過(guò)互聯(lián)網(wǎng)監(jiān)視受害者的 Google Home 了（不需要再靠近設(shè)備）。

值得一提的是，該研究員在 GitHub 上發(fā)布了上述行動(dòng)的三個(gè) PoCs，但應(yīng)該對(duì)運(yùn)行最新固件版本的 Google Home 設(shè)備不起作用。

這些 PoCs 比單純的植入惡意用戶(hù)更進(jìn)一步，攻擊者可以通過(guò)麥克風(fēng)進(jìn)行監(jiān)聽(tīng)活動(dòng)，在受害者的網(wǎng)絡(luò)上進(jìn)行任意的 HTTP 請(qǐng)求，并在設(shè)備上讀/寫(xiě)任意文件。

Google Home 音箱安全問(wèn)題可能帶來(lái)的影響

一旦有惡意賬戶(hù)鏈接到目標(biāo)受害者設(shè)備上，就有可能通過(guò) Google Home 音箱控制智能開(kāi)關(guān)、進(jìn)行網(wǎng)上購(gòu)物、遠(yuǎn)程解鎖車(chē)門(mén)，或秘密暴力破解用戶(hù)的智能鎖密碼。

更令人擔(dān)憂(yōu)的是，研究員發(fā)現(xiàn)了一種濫用“呼叫[電話(huà)號(hào)碼]”命令的方法，將其添加到一個(gè)惡意程序中，隨后將在指定時(shí)間激活麥克風(fēng)，調(diào)用攻擊者的號(hào)碼并發(fā)送實(shí)時(shí)麥克風(fēng)反饋。

捕獲麥克風(fēng)音頻的惡意路由（downrightnifty.me）

在通話(huà)過(guò)程中，設(shè)備的 LED 會(huì)變成藍(lán)色，這是發(fā)生某些監(jiān)聽(tīng)活動(dòng)的唯一“指示”，就算受害者注意到它了，也可能會(huì)認(rèn)為是設(shè)備正在更新其固件。（注：標(biāo)準(zhǔn)麥克風(fēng)激活指示燈為脈動(dòng) LED，在通話(huà)過(guò)程中不會(huì)出現(xiàn)這種情況）

最后，攻擊者還可以在被入侵的智能音箱上播放媒體資源，也可以強(qiáng)制重啟，甚至“強(qiáng)迫”其忘記存儲(chǔ)的 Wi-Fi 網(wǎng)絡(luò)，強(qiáng)制進(jìn)行新的藍(lán)牙或Wi-Fi配對(duì)等等。

谷歌的修復(fù)措施

研究員在 2021 年 1 月發(fā)現(xiàn) Google Home 智能音箱的安全問(wèn)題，同年 4 月，谷歌發(fā)布安全補(bǔ)丁，修復(fù)了所有問(wèn)題。

補(bǔ)丁中包括一個(gè)新的基于邀請(qǐng)的系統(tǒng)，用于處理帳戶(hù)鏈接，阻止任何未添加到 Home 的嘗試。至于 "呼叫[電話(huà)號(hào)碼]"命令，谷歌新增一個(gè)保護(hù)措施，以防止其通過(guò)例程進(jìn)行遠(yuǎn)程啟動(dòng)。

值得注意的是，Google Home 于 2016 年發(fā)布，2018 年添加了預(yù)定例程，2020 年引入了 Local Home SDK，因此在 2021 年 4 月之前，發(fā)現(xiàn)安全漏洞的攻擊者有足夠的利用時(shí)間。