谷歌Home扬声器可能已被劫持以监视您的对话

一些GoogleHome智能音箱可能被劫持以远程控制设备，甚至窃听人们的隐私(在新标签页中打开)一位安全专家声称。

该漏洞是由网络安全研究员MattKunze发现的，他因负责任地向Google报告该漏洞而获得了107,500美元的赏金。

Kunze在一篇博客文章中解释说，他正在调查自己的个人GoogleHome迷你扬声器可能存在的问题(在新标签页中打开)他如何找到一种方法来向设备添加另一个Google帐户，这足以窃听人们的声音。

首先，攻击者需要在设备的无线邻近范围内，并侦听带有与Google关联的前缀的MAC地址。

之后，他们可以发送deauth数据包，以断开设备与网络的连接并触发设置模式。在设置模式下，他们请求设备信息，并使用该信息将他们的帐户链接到设备-瞧!-他们现在可以通过互联网监视设备所有者，并且可以远离WiFi。

但风险比“仅仅”倾听人们的谈话要大。许多智能家居扬声器用户将他们的设备与各种其他智能设备连接，例如门锁和智能开关。此外，研究人员还找到了一种滥用“呼叫电话号码”命令的方法，让设备在指定时间呼叫攻击者并提供实时音频。

该漏洞于2021年初被发现，并于2022年4月得到修复，谷歌通过创建一个新的基于邀请的帐户链接系统来解决这个问题，阻止任何未添加到主页的帐户。

话虽如此，为确保没有风险，建议GoogleHome用户尽快将端点的固件更新到最新版本。