谷歌智能音箱曝后门,可允许黑客窥探对话

日前,Google Home智能音箱中的一个漏洞允许安装一个后门帐户,该帐户可用于远程控制它,并通过访问麦克风馈送将其变成一个窥探设备。

据悉,一位安全研究员在试验Google Home 迷你扬声器时,发现使用Google Home应用程序添加的新帐户可以通过云API向其远程发送命令,随后通过Nmap扫描,找到Google Home本地HTTP API端口,并设置了一个代理来捕获加密的HTTPS流量,进而抢夺用户授权令牌。

研究人员还发现,向目标设备添加新用户是一个两步过程,需要设备名称、证书和来自其本地API的“云 ID”。有了这些信息,他们就可以向谷歌服务器发送链接请求。

为了将流氓用户添加到目标 Google Home 设备,分析师在Python脚本中实现了链接过程,该脚本自动泄露了本地设备数据并再现了链接请求。[阅读原文]

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐