Die Aushebelung der Demokratie in der BRD Teil 2: Aushöhlung der dritten Gewalt, der Justiz
Japan: Offizielle Untersuchung zu Millionen von Todesfällen durch COVID-Impfung
Home-Speaker machen Privatsphäre fraglich – Bug in Google-Home ermöglichte Ausspähen
Für kritische Technologie-Journalisten und Researcher ist schon lange klar, dass die diversen Home-Speaker – also ein Gerät mit Mikrophone, Lautsprecher und direkter Verbindung zu Google, Amzon und ähnlichen – der Super-Gau für die Privatsphäre ist. Lauschangriffe sind zwar auch über Smartphones möglich, aber sie steuern wenigsten (noch?) nicht den Haushalt.
Einem aktuellen Bericht zufolge ermöglichte ein Bug in den intelligenten Lautsprechern von Google Home die Installation eines Backdoor-Kontos, das zur Steuerung des Geräts und zum Zugriff auf dessen Mikrofon-Aufnahmen verwendet werden konnte. Kurz gesagt: Hacker könnten die Google-Geräte übernehmen und Nutzer ausspionieren, indem sie ihre Gespräche belauschen.
Bleeping Computer berichtet, dass eine ein Bug (Fehler?) in den Google Home-Lautsprechern die Einrichtung eines Backdoor-Kontos ermöglichte, mit dem das Gerät ferngesteuert und auf den Mikrofon-Feed zugegriffen werden konnte, wodurch es möglicherweise zu einem Spionagewerkzeug wurde.
Die Schwachstelle wurde von dem Forscher Matt Kunze entdeckt, der eine Belohnung in Höhe von 107.500 US-Dollar für die Meldung des Bugs an Google im vergangenen Jahr erhalten hat. Kunze veröffentlichte Ende voriger Woche technische Details und ein Angriffsszenario, das die Schwachstelle veranschaulicht.
Während seiner Experimente mit einem Google Home Mini-Lautsprecher entdeckte Kunze, dass neue Konten, die über die Google Home-App erstellt wurden, über die Cloud-API Befehle an das Gerät senden konnten. Um den verschlüsselten HTTPS-Verkehr abzufangen und möglicherweise das Benutzerautorisierungs-Token zu erhalten, nutzte der Forscher einen Nmap-Scan, um den Port für die lokale HTTP-API von Google Home zu lokalisieren und einen Proxy einzurichten.
Kunze fand heraus, dass das Hinzufügen eines neuen Benutzers zum Zielgerät zwei Schritte erfordert: das Abrufen des Gerätenamens, des Zertifikats und der „Cloud-ID“ von der lokalen API. Diese Informationen ermöglichen es, eine Link-Anfrage an den Google-Server zu senden. Um einen nicht autorisierten Benutzer zu einem Google Home-Zielgerät hinzuzufügen, implementierte Kunze den Verknüpfungsprozess in ein Python-Skript, das die Extraktion der lokalen Gerätedaten automatisierte und die Verknüpfungsanforderung reproduzierte.
Kunze entdeckte die Probleme im Januar 2021 und übermittelte im März 2021 zusätzliche Details. Google hat alle Probleme im April 2021 behoben.
Der Patch enthält ein neues, einladungsbasiertes System zur Handhabung von Kontoverknüpfungen, das alle Versuche blockiert, die nicht auf Home hinzugefügt wurden.
Die Deauthentifizierung von Google Home ist immer noch möglich, kann aber nicht zur Verknüpfung eines neuen Kontos verwendet werden, so dass die lokale API, die die grundlegenden Gerätedaten ausspioniert hat, ebenfalls unzugänglich ist.
Man sollte sich darüber in Klaren sein, dass solche Fehler und Lücken in der Sicherheit von Geräten – die absichtlich oder unabsichtlich eingebaut werden – die Regel und nicht die Ausnahme in der digitalen Welt sind. Deshalb sollte man selbst auf die eigene Sicherheit achten. Für die Digitalindsutrie sind Daten das neue Erdöl und sie versuchen ständig die Grenzen des Erlaubten zu dehnen und kostenlose Services anzubieten um an die Daten der User zu kommen.
Und wir haben von Twitter gelernt, dass die Geheimdienste in den Firmen sitzen, mithören, mitlesen und zensieren.
Bild von antonbe auf Pixabay
Unsere Arbeit ist spendenfinanziert – wir bitten um Unterstützung.
Folge uns auf Telegram und GETTR
Großangriff auf persönliche Gesundheitsdaten
Twitter Files 9.0: Koordination auch mit anderen Regierungsbehörden als dem FBI
