Bezpečnostný výskumník odhalil tento problém spoločnosti Google, teraz je už opravený.
Bez ohľadu na to, ktorý skvelý inteligentný reproduktor si vyberiete pre svoju domácnosť, predpoklad je vždy rovnaký: Musíte dôverovať spoločnosti, ktorá za ním stojí, pokiaľ ide o hlasové záznamy a iné periférne zvuky z domácnosti. Ale vždy, keď sú zapojené počítače, existujú zraniteľnosti, ktoré sa dajú zneužiť. To je aj prípad týchto inteligentných reproduktorov. Výskumník si všimol spôsob, ako odpočúvať tieto inteligentné reproduktory v blízkosti. Bezpečnostný výskumník Matt Kunze si všimol, že nastavenie reproduktora s účtom Google je pomerne jednoduché, pričom všetko prináša majiteľovi účtu množstvo výkonných nástrojov (prostredníctvom Bleeping Computer). Po nastavení účtu je možné ovládať zariadenia inteligentnej domácnosti, vytvárať a spúšťať rutiny a dokonca aj telefonovať. Kunzeho zaujímalo, či je jednoduché pripojiť nový účet k tomuto reproduktoru.
Vďaka fyzickej blízkosti reproduktora sa to ukázalo ako jednoduchá úloha – dokonca aj bez prístupu k sieti Wi-Fi, ku ktorej je reproduktor pripojený. Robí sa to tak, že sa reproduktor na diaľku prepne do režimu nastavenia, potom sa doň vloží iný účet a potom sa znova pripojí k sieti Wi-Fi obete. Keď sa hackerovi podarí pripojiť svoje konto k reproduktoru, získa prístup k inteligentným zariadeniam v domácnosti obete. Zlý hacker by mohol ovládať vypínače, prehrávať hudbu, zapínať a vypínať spotrebiče a podobne. Prostredníctvom inteligentného domáceho reproduktora môže iniciovať aj telefonický hovor, vďaka čomu môže nahrávať všetko, čo sa deje v domácnosti obete. Počas telefonického hovoru sa svetlá inteligentného reproduktora rozsvietia na modro, ale ak je obeťou niekto, kto túto funkciu nepoužíva alebo sa dobre nevyzná v možnostiach služby, môže sa jednoducho domnievať, že reproduktor sa aktualizuje alebo je inak zaneprázdnený.
Kunze oznámil tento problém Googlu v marci 2021 po tom, ako ho prvýkrát objavil v januári 2021. Spoločnosť odvtedy vyplatila za nahlásenie niečo vyše 100-tisíc dolárov a problém opravila. Do reproduktora už nie je možné na diaľku pridať účet, aj keď je stále možné na diaľku aktivovať režim nastavenia. Telefónne hovory, ako sa uskutočnili vo videu, už tiež nie sú možné, pretože ich už nemôžete urobiť súčasťou rutinných postupov. Zatiaľ vynikajúce inteligentné displeje Google ponúkajú chránenejšie nastavenie vďaka možnosti zobraziť QR kód pri ich nastavovaní. Takto môže byť ich nastavená sieť chránená pomocou WPA2, čo znamená, že útočník by potreboval fyzický prístup k samotnému zariadeniu, aby k nemu pripojil svoj účet. Napriek hackerskému útoku bezpečnostný výskumník potvrdzuje, že zariadenia Nest a Home sú väčšinou mimoriadne bezpečné a neponúkajú veľa vektorov útoku. Hovorí, že zraniteľnosti, ktoré objavil, boli pomerne nenápadné a že útočník zvyčajne dokáže nanajvýš zmeniť niektoré základné nastavenia.
