Un investigador ha descubierto un error en los altavoces de Google Home, que permite controlar estos dispositivos en remoto y espiar las conversaciones de los usuarios. Matt Kunze desvela ha recibido una compensación económica de 100.615€ en dólares de parte de Google por haber descubierto ese fallo de seguridad en los altavoces ‘inteligentes’ de Google Home.

El investigador utilizó un ‘script’ de Python (un lenguaje de programación utilizado en la mayoría de las aplicaciones web, el desarrollo de ‘software’, la ciencia de datos y el ‘machine learning’, que es de descarga gratuita) para acceder al sistema de estos dispositivos.

Kunze asegura que al comienzo de su investigación notó «lo fácil que era agregar nuevos usuarios al dispositivo desde la aplicación Google Home», así como vincular una cuenta al dispositivo.

También explica las distintas rutas por las que pueden optar los ciberdelincuentes para acceder a los altavoces desarrollados por Google:

• En primer lugar, la opción de obtener el ‘firmware’ del dispositivo descargándolo desde el sitio web del proveedor.
• A continuación, la realización de un análisis estático de la aplicación que interactúa con el dispositivo (Google Home)
• También se pueden interceptar las comunicaciones entre la aplicación y el dispositivo o entre éstos y los servidores del proveedor mediante un ataque conocido como de intermediario (MitM, por sus siglas en inglés).

Tras conectarse a internet y hacer uso de los datos del usuario, vincula su cuenta al dispositivo de la víctima. A partir de entonces, ya puede espiar a la víctima sin tener que estar cerca del dispositivo, sino únicamente a través de Google Home o internet.

El investigador ha publicado tres demostraciones de concepto (PoC, por sus siglas en inglés) en GitHub para estas acciones, aunque ha subrayado que éstas no deberían funcionar en los dispositivos Google Home que ejecutan la última versión de su ‘firmware’.

Kunze descubrió este fallo de seguridad en enero de 2021 e informó a la compañía de este problema en marzo. Tan solo un mes después, en abril, Google ya había solucionado este problema con un parche de seguridad. Pero Google Home se lanzó en 2016 y las rutinas programadas de sus altavoces ‘inteligentes’ tan solo dos años después, por lo que los atacantes se habrían podido aprovechar de esta vulnerabilidad durante cuatro años.