12月30日消息 ， 安全研究专家马特?昆茨（MattKunze）去年向谷歌报告了GoogleHome的严重漏洞 ， 近期获得了谷歌107500美元（约74.9万元人民币）的高额赏金 。

文章图片
在GoogleHome智能音响设备上发现了一个漏洞 ， 攻击者可以利用该漏洞安装后门账户 ， 用于远程控制并可激活麦克风用于监听用户对话 。 昆茨在本周早些时候披露了该漏洞的所有技术细节 ， 以及如何利用该漏洞 。
昆茨通过Nmap扫描 ， 找到了GoogleHome本地HTTPAPI的端口 。 于是他设置了一个代理来捕获加密的HTTPS流量 ， 希望劫持用户授权令牌 。

文章图片

文章图片
研究人员发现 ， 向目标设备添加新用户需要两个步骤 ， 需要设备名称、证书和来自其本地API的“云ID” 。 有了这些信息 ， 他们就可以向谷歌服务器发送链接请求 。
更令人担忧的是 ， 研究人员找到了一种滥用“call[电话号码]”命令的方法 ， 将其添加到恶意例程中 ， 该例程会在指定时间激活麦克风 ， 呼叫攻击者的号码并发送实时麦克风馈送 。
【12月30日消息|安全专家报告googlehome严重漏洞】昆茨于2021年1月发现了这些问题 ， 并于2021年3月发送了更多详细信息和PoC 。 谷歌于2021年4月修复了所有问题 。

• 12月30日消息|oppo自研手机ap芯片将于明年q3量产
• 12月30日消息|鸿蒙生态手机wiko5g今日开售，售价1999元起
• 本文转自：深圳新闻网读特客户端·深圳新闻网2022年12月29日讯（记者李云云）华为、兆...|第十八届文博会向公众开放 龙岗展区沉浸式数字“黑科技”等你
• 12月30日消息|浙江查处173款违法违规app：网易云音乐、有赞精选等限期整
• 12月30日消息|松下lumixs5markii定档1月4日发布
• 12月30日消息|mesa开源3d驱动在2022年快速发展
• 12月30日消息|小米米家智能调香机套装开售：可实现1033种调香，399元
• 12月30日消息|联想新一代yoga笔记本曝光：双屏yogabook回归
• 12月30日消息|169元，荣耀路由x4pro开售：支持1500接wifi
• 12月30日消息|摩托罗拉推出motowatch100智能手表