Un investigador descubrió una vulnerabilidad en los altavoces inteligentes Google Home, que al explotarla les daba a los ciberatacantes a posibilidad de controlar el dispositivo en remoto además de permitirles espiar y escuchar a los usuarios.
Cada vez es más común tener un asistente virtual en casa, ya sea en forma de Alexa, de Siri o de Google Home, y los que no lo tienen muchas veces es porque no quieren una máquina que los escuche. Y mientras las compañías tratan de quitarse este estigma de encima, hay casos como este que dan la razón a los más desconfiados.
Fue el investigador Matt Kunze quién probando un "script" del lenguaje de programación Phyton consiguió fácilmente llevar a cabo una serie de ciberataques en los altavoces inteligentes de Google. En concreto, él utilizó el modelo de Google Home Mini, pero afirma que este fallo era común en todos los productos de la compañía de este tipo.
Kunze señala que el problema es que "era demasiado fácil" agregar nuevos usuarios al dispositivo desde la app móvil de Google Home, lo que da a los ciberdelincuentes varias posibilidades para acceder a los altavoces.
Este error dentro del código de los altavoces inteligentes Google Home, permitía según señala Kunze, acceder a estos dispositivos de forma remota y añadir un nuevo usuario malintencionado para que recopilase la información del dispositivo (nombre, certificado e ID de la nube).
Con toda esta información, el hacker podría vincular su cuenta al dispositivo y conectarse al Google Home para espiar a la víctima sin tener que estar cerca del altavoz. Lo cierto es que este error no es nuevo, sino que Kuze lo descubrió en enero de 2021 e informó a Google de la vulnerabilidad en marzo de ese mismo año.
El hecho que lo hace relevante ahora, es que Google le ha compensado por descubrir e informarles del error con algo más de 100.000 euros. Gracias a las actualizaciones del firmware de estos dispositivos, es muy poco probable que se pueda seguir explotando esta vulnerabilidad, aunque si que es cierto que los Google Home se lanzaron en 2016, por lo que este error se podría haber aprovechado durante años.
