谷歌Home安全漏洞允许黑客窃听对话

智能扬声器已成为许多家庭的流行补充，提供方便的免提控制智能设备和访问音乐流媒体和语音助手等一系列功能。然而，在2021年1月，安全研究员MattKunze发现了GoogleHome扬声器中的一个严重漏洞，该漏洞允许黑客在用户不知情的情况下进入用户家中。

Kunze发现，GoogleHome安全漏洞允许威胁行为者通过Home应用程序添加“流氓”帐户，并通过从本地API获取设备名称、证书和“云ID”，通过云API远程控制设备。一旦他们获得了这些信息，黑客就可以通过谷歌的服务器发送设备的链接请求，并获得对设备的访问权限，就好像他们是流氓用户一样。

这允许黑客监视用户，在他们的网络上发出HTTP请求，在设备上读写文件，甚至远程激活智能扬声器的呼叫命令，使设备能够拨打黑客的电话并窃听正在进行的对话在家里。此外，黑客还可以控制用户的智能家居开关、进行在线交易、解锁用户的住宅和车门，甚至利用用户用于智能锁的PIN码。

幸运的是，Kunze于2021年3月向谷歌报告了该问题，该公司随后修复了该漏洞并为此报告支付了超过10万美元。无法再远程向GoogleHome扬声器添加帐户。谷歌还禁用了通过例程远程激活呼叫命令的功能。

另一方面，谷歌的智能显示器现在提供更安全的设置过程，这要归功于使用可以受WPA2保护的二维码。这意味着攻击者需要对设备进行物理访问才能将他们的帐户连接到该设备。

尽管遭到黑客攻击，Kunze确认Nest和Home设备通常非常安全，并且不会提供很多攻击媒介。他说，他发现的漏洞很微妙，攻击者最多只能更改一些基本设置。