Google Home Speaker の欠陥が FIX:リモートから会話が盗聴される可能性

Google Home speakers allowed hackers to snoop on conversations

2022/12/29 BleepingComputer — Google Home Smart Speaker のバグにより、リモートからの操作が可能なバックドア・アカウントのインストールや、マイクフィードへのアクセスする盗聴が可能であることが判明した。2021年に、この問題を発見した研究者は Google に報告し、$107,500 の報奨金を受け取っている。今週の初めに、この研究者が公開したのは、発見された技術的な詳細と、悪用の方法を示す攻撃シナリオである。


危殆化のプロセス

この研究者は、自身の Google Home Mini Speaker で実験していたところ、Google Home アプリで作成した新しいアカウントが、クラウド API を介してコマンドをリモート送信できることを発見した。

Nmap スキャンを使用して、Google Home のローカル HTTP API のポートを見つけ出せたので、プロキシを設定して暗号化された HTTPS トラフィックをキャプチャし、ユーザーの認証トークン奪取を試みたという。

Captured HTTPS (encrypted) traffic
Captured HTTPS (encrypted) traffic (downrightnifty.me)

彼が発見したのは、対象デバイスに新しいユーザーを追加するためには、デバイス名/証明書/ローカル API からのクラウド ID を必要とする、2段階のプロセスであることだ。したがって、そのための情報が得られるなら、Google サーバに対してリンク・リクエストを送信できる。

この分析者は、ターゲットとなる Google Home デバイスに不正ユーザーを追加するための、リンク・プロセスを Python スクリプトで実装し、それによりローカル・デバイス・データからの流出を自動化し、リンク・リクエストを再現した。

The linking request that carries the device ID data
The linking request that carries the device ID data (downrightnifty.me)

この攻撃方法は、研究者のブログで、以下のように要約されている。

  1. Google Home の近くにいる被害者の、ワイヤレス情報をスパイする。ただし、被害者の Wi-Fi パスワードはわからない。
  2. Google に関連するプレフィックスを持つ MAC アドレス (例:E4:F0:42) をリスニングすることで、被害者の Google Home を見つけ出す。
  3. deauth パケットを送信して、デバイスをネットワークから切断し、セットアップ・モードに移行させる。
  4. デバイスのセットアップ・ネットワークに接続し、デバイスの情報 (名前/証明書/クラウド ID) を要求する。
  5. インターネットに接続し、取得したデバイス情報を用いて、自身のアカウントと被害者のデバイスをリンクさせる。
  6. それにより、インターネット経由で Google Home から被害者を監視できるようになる。また、デバイスの近くにいる必要がなくなる。

この研究者は GitHub で、上記の動作を行うための3つの PoC を公開している。ただし、それらは、最新のファームウェア・バージョンを実行している Google Home デバイスでは動作しないはずだ。

この PoC で可能になるのは、不正ユーザーの仕込みに加えて、マイクを使ったスパイ行為/被害者のネットワーク上での任意の HTTP リクエスト/デバイス上の任意のファイルの read/write などとなる。

想定される影響

ターゲット・デバイスにリンクされた不正なアカウントを持つことで、Google Home Speaker を介して、スマート・スイッチの制御/オンライン・ショッピング/ドアや車両のリモートロック解除/スマートロック用のユーザー暗証番号に対するブルートフォース攻撃ンドを、ひそかに実行できるようになる。

さらに心配なことに、電話番号を呼び出すコマンドを、指定時刻にマイクを起動し、攻撃者の番号に電話をかけ、マイクのライブ映像を送信するという、悪意のあるルーチンに追加する方法も、この研究者は発見している。

さらに心配なことに、この研究者は発見したものには、指定された時間にマイクをアクティブにし、攻撃者の番号に電話をかけ、ライブマイク・フィードを送信する悪意のあるルーチンに、call [電話番号] コマンドを追加することで、このコマンドを悪用するという方法もある。

The malicious routing that captures mic audio
The malicious routing that captures mic audio (downrightnifty.me)

通話中にデバイスの LED は青く点灯するが、それが、何らかの活動が行われていることを示す唯一の指標となる。それに被害者が気づけば、デバイスがファームウェアを更新していると考えるかもしれない。標準的なマイク起動のインジケーターは LED のパルスであり、このインジケーターは通話中には表示されない。

最後に可能となる操作には、侵害された Smart Speaker でのメディア再生/名前の変更/強制的な再起動/保存された Wi-Fi ネットワークの強制的な削除/新しいBluetooth または Wi-Fi ペアリングの強制実行などがある。

Google による修正

この研究者は、2021年1月に問題を発見し、2021年3月に追加の詳細と PoC を提示した。そして Google は、2021年4月に全ての問題を修正した。この修正パッチには、アカウント・リンクを処理するための、新しい招待ベースのシステムが含まれており、Home 上で追加されていない試みはブロックされる。

Google Home の認証解除は引き続き可能だが、これを用いて新しいアカウントをリンクすることは不可能になり、基本的なデバイス・データを流出させた ローカル API にも、アクセスできない状態になる。また Google は、[電話番号]を呼び出すコマンドについて、リモート起動を防ぐためルーチンを追加している。

注目すべきは、Google Home が 2016年にリリースされ、スケジュールされたルーチンが 2018年に追加され、Local Home SDK が2020年に導入されていることだ。したがって、2021年4月以前に、この問題を見つけた攻撃者にとっては、悪用する時間が十分にあったことになる。

Google Home Smart Speaker のような、いわゆるスマート・デバイスは新しいものだけに、セキュリティホールが存在する場所が特定しづらく、また、それが悪用された場合の影響力も計り知れません。その意味で、こうしたかたちで問題が発見/修正されて良かったと思います。よろしければ、以下の記事も、ご参照ください。

R4IoT キルチェーン:IoT/IT からの侵入と OT へのランサムウェア攻撃を簡潔に証明
IoT アーキテクチャ@カーネギーメロン大:データ最小化の原則に基づく動作とは?
企業に潜み続ける APT:脆弱な IoT/OT デバイスが理想のターゲットになっている

%d bloggers like this: