Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
enero
(Total:
45
)
- Operación policial internacional desmantela el gru...
- Twitter España despide al 80% de su plantilla: se ...
- Un instituto de Massachusetts lleva año y medio co...
- El FBI confirma que el grupo Lazarus de Corea del ...
- WhatsApp multada con 5,5 millones de euros por vio...
- Microsoft Authenticator: ¿Qué es y cómo funciona?
- Anuncios con malware en resultados de búsqueda de ...
- Herramientas para el análisis de malware en Android
- PayPal reconoce una brecha que ha afectado a 35.00...
- Android TV Box comprado en Amazon venía precargado...
- Google prepara un chatbot de búsqueda para competi...
- Samsung Display muestra un nuevo prototipo de pant...
- Paquetes maliciosos PyPi ‘Lolip0p’ instalan malwar...
- ¿Qué potencia de fuente de alimentación necesito s...
- La IA generativa recibe su primera demanda por inf...
- Musk se enfrenta al juicio por fraude bursátil por...
- Si trabajas con pantallas y usas gafas o lentillas...
- Organismo de control Estados Unidos consiguió crac...
- Se cumplen diez años de la muerte por inducción al...
- Un error informático paraliza los vuelos comercial...
- Disponible Paint.NET 5.0
- Bielorrusia legaliza la piratería de películas, mú...
- Microsoft quiere invertir 9.300 millones en OpenAI...
- Microsoft presenta VALL-E, una IA capaz de imitar ...
- 'Supercookies' imbloqueables: Telefónica, Vodafone...
- Valetudo es un firmware para evitar que robo aspir...
- El chat de salud de Google resuelve dudas de pacie...
- Wikipedia sufre un nuevo ataque de censura por par...
- Múltiples vulnerabilidades en grandes y conocidas ...
- Silk Road, el primer mercado de la Dark Web
- PiKVM V4: proyecto basado en una Raspberry Pi 4, s...
- Windows Sandbox - "Espacio Aislado"
- Sistemas operativos alternativos a Android e iOS
- El diario The Guardian sigue teletrabajando un mes...
- Facebook e Instagram multadas con 390 millones eur...
- Detenidos cerca de Barcelona estafadores bancarios...
- Evadiendo protecciones de un antivirus
- Un dispositivo militar con datos biométricos de mi...
- Microsoft quiere integrar ChatGPT en buscador Bing
- Acelerar el arranque de inicio de Windows
- Vulnerabilidad en los altavoces de Google Home per...
- One Laptop per Child (OLPC)
- Grupo de ransomware LockBit pide disculpas por ata...
- Descargar una copia de todos los correos y adjunto...
- Google pagará 9,5 millones por rastrear la ubicaci...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Arm Holdings Plc es una empresa británica dedicada al diseño de software y semiconductores . Con sede en Cambridge, Reino Unido, tiene una ...
-
Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin t...
Vulnerabilidad en los altavoces de Google Home permitió controlarlos en remoto y espiar las conversaciones de sus usuarios
El investigador llamado Matt Kunze ha anunciado que recientemente ha recibido una compensación económica de parte de Google por uno de sus últimos hallazgos, centrado en los altavoces inteligentes de Google Home. Concretamente, Kunze ha recibido 107.500 dólares (unos 100.615 euros al cambio actual) por haber descubierto un error en estos dispositivos que permitía la instalación de una cuenta de puerta trasera y que los ciberdelincuentes podrían haber aprovechado para controlarlos en remoto y espiar conversaciones de sus usuarios.
Un investigador ha descubrió con un 'script' desarrollado por Python un error en los altavoces de Google Home, que ofrecía la posibilidad de instalar una cuenta de puerta trasera para controlar estos dispositivos en remoto y espiar las conversaciones de los usuarios.
Python es un lenguaje de programación utilizado en buena parte de las aplicaciones web, el desarrollo de 'software', la ciencia de datos y el 'machine learning'. Es de descarga gratuita y se puede utilizar en todos los sistemas.
Un investigador llamado Matt Kunze ha anunciado que recientemente ha recibido una compensación económica de parte de Google por uno de sus últimos hallazgos, centrado en los altavoces inteligentes de Google Home.
Concretamente, Kunze ha sido recompensado con 107.500 dólares (unos 100.615 euros al cambio actual) por haber descubierto un error en estos dispositivos que permitía la instalación de una cuenta de puerta trasera y que los ciberdelincuentes podrían haber aprovechado para controlarlos en remoto y espiar conversaciones de sus usuarios.
El investigador, que utilizó un 'script' de Python para acceder al sistema de estos dispositivos, utilizó para su experimento un Google Home Mini, aunque ha reconocido que este tipo de ataques ofrecieron los mismos resultados en otros modelos de la marca.
En primer lugar, Kunze ha insistido en que al comienzo de su investigación notó "lo fácil que era agregar nuevos usuarios al dispositivo desde la aplicación Google Home", así como vincular una cuenta al dispositivo, tal y como se puede leer en su blog.
Con ello, ha expuesto las distintas rutas por las que pueden optar los ciberdelincuentes para acceder a los altavoces desarrollados por Google. En primer lugar, comenta la opción de obtener el 'firmware' del dispositivo descargándolo desde el sitio web del proveedor. A continuación, la realización de un análisis estático de la aplicación que interactúa con el dispositivo. En este caso, Google Home.
También se pueden interceptar las comunicaciones entre la aplicación y el dispositivo o entre estos y los servidores del proveedor mediante un ataque conocido como de intermediario (MitM, por sus siglas en inglés).
El investigador utilizó la aplicación de Google Home y se percató de que a través de ella se podían enviar comandos de forma remota a través de la interfaz de programación de aplicaciones (API, por sus siglas en inglés) en la nube. Entonces, usó un escaneo de Nmap para encontrar el puerto de la API HTTP local del dispositivo y configuró un proxy para capturar el tráfico HTTPS cifrado.
Una vez obtenidos estos datos, supo que el proceso de agregar un nuevo usuario al dispositivo de destino requería tanto el nombre de este como el certificado y la ID de la nube de la API local. Concretamente, para agregar un usuario malintencionado implementó esa conexión en un script de Pyhton, que reprodujo la solicitud de vinculación.
En este sentido, Kunze describe el escenario de ataque más probable en caso de que los ciberdelincuentes hubiesen aprovechado dicha puerta trasera. Primero indica que, cuando los atacantes buscan espiar a sus víctimas dentro de la proximidad de Google Home, logra acceder a sus identificadores únicos o MAC.
A continuación, el atacante envía paquetes de desautorización para desconectar el dispositivo de la red WiFi y desplegar el modo de Configuración. Después, se conecta a esta otra configuración y solicita la información del dispositivo (nombre, certificado e ID de la nube).
Tras conectarse a internet y hacer uso de los datos del usuario, vincula su cuenta al dispositivo de la víctima. A partir de entonces, ya puede espiar a la víctima sin tener que estar cerca del dispositivo, sino únicamente a través de Google Home o internet.
El investigador ha publicado tres demostraciones de concepto (PoC, por sus siglas en inglés) en GitHub para estas acciones, aunque ha subrayado que estas no deberían funcionar en los dispositivos Google Home que ejecutan la última versión de su 'firmware'.
Conviene mencionar que Kunze descubrió este fallo de seguridad en enero de 2021 e informó a la compañía de este problema en marzo de 2021. Tan solo un mes después, en abril, Google ya había solucionado este problema con un parche de seguridad.
No obstante, tal y como adelantan en Bleeping Computer, Google Home se lanzó en 2016 y las rutinas programadas de sus altavoces inteligentes tan solo dos añis después, por lo que los atacantes se habrían podido aprovechar de esta vulnerabilidad durante años.
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.