Hur är säkerheten på Google Home?
Tencent Blade team har utvecklat metoder för att hacka och köra fjärrkod på Google Home smarta högtalare.
Precis som när Amazon Echo hackades förra året så började de med att visa hårdvaran. I ECHO-fallet manipulerade forskarna med Flash Hardware chips i angreppsscenariot. När det gäller Google Home var det lite svårare eftersom forskarna inte kunde hitta ett hårdvara gränssnitt för felsökning och blinkande-som de gjordes vid Amazon ECHO Hack.
Istället använder de ledtrådargenom att extrahera Google Home firmware, genom dumpning från enhetens NAND flash. På grund av säker uppstart och OTA säkerhetsverifiering mekanismer var direkt manipulering av firmware inte möjlig.
Forskarna designade en ny adapter därifrån letade de efter svagheter att exploatera. En sådan metod inkluderade ett enkelt sätt att simulera en uppgraderingsbegäran (TLS). Forskarna identifierade också en potentiell väg via CAST-protokollet. De använder en Magellan sårbarhet, som kan användas för att utnyttja den massivt populära SQLite databasmotor.
Forskarna har rapporterat alla detaljer om sårbarheten för Google och de har åtgärdat sårbarheten. Om din produkt använder Chrome uppdatera till den officiella stabila versionen 71.0.3578.80. Om din produkt använder SQLite uppdatera till 3.26.0 (eller senaste utgåvan).
Föredrag: Breaking Google Home: Exploit It with SQLite (Magellan).
Wenxiang Qian, YuXiang Li, HuiYu Wu
