Lỗ hổng mới khiến bạn bị lộ mật khẩu WiFi
Mới đây, nhà nghiên cứu bảo mật Matt Kunze đã phát hiện ra lỗ hổng mới trong loa thông minh Google Home, có thể bị khai thác để cài đặt backdoor, đánh cắp mật khẩu WiFi và điều khiển các thiết bị trong gia đình.
Với các phát hiện liên quan đến vấn đề bảo mật trong loa thông minh Google Home, Matt Kunze đã nhận được 107.500 USD tiền thưởng từ Google.
Lỗ hổng cho phép kẻ tấn công có thể cài đặt “backdoor” (cửa hậu) trên thiết bị, gửi lệnh từ xa qua Internet, truy cập nguồn cấp dữ liệu micro và thực hiện các yêu cầu tùy ý trong mạng LAN của nạn nhân, nhà nghiên cứu tiết lộ trong một bài viết kỹ thuật vừa được công bố.
Google Home có thể bị kẻ gian khai thác, đánh cắp mật khẩu WiFi, nghe lén thông qua micro. Ảnh: CNET
Với khả năng khai thác đa dạng, mật khẩu WiFi không chỉ có thể bị lộ mà còn cung cấp cho kẻ gian quyền truy cập trực tiếp vào các thiết bị khác đang được kết nối cùng một mạng.
Sau khi nhận được báo cáo vào tháng 1-2021, lỗ hổng đã nhanh chóng được Google khắc phục vào tháng 4-2021.
Bất kể cách thức tấn công được sử dụng là gì, một quy trình xâm nhập thành công cho phép kẻ gian có thể giảm âm lượng trên Google Home, gọi đến một số điện thoại cụ thể tại bất kỳ thời điểm nào để theo dõi nạn nhân thông qua micro của thiết bị.
Kunze nói: “Điều duy nhất nạn nhân có thể nhận thấy là đèn LED của thiết bị chuyển sang màu xanh lam, nhưng có lẽ họ chỉ cho rằng nó đang cập nhật chương trình cơ sở hoặc thứ gì đó. Trong một cuộc gọi, đèn LED không phát sáng như bình thường, vì vậy không có dấu hiệu nào cho thấy micro đang mở”.
Hơn nữa, cuộc tấn công còn có thể được mở rộng để thực hiện các yêu cầu HTTP tùy ý, thậm chí đọc các tệp hoặc sửa đổi các thiết lập độc hại trên những thiết bị được liên kết.
Đây không phải là lần đầu tiên các phương pháp tấn công như vậy được nghĩ ra để bí mật rình mò các mục tiêu tiềm năng thông qua các thiết bị kích hoạt bằng giọng nói.
Vào tháng 11-2019, một nhóm học giả đã tiết lộ một kỹ thuật có tên Light Commands, đề cập đến lỗ hổng micro cho phép kẻ tấn công chèn lệnh từ xa vào các trợ lý giọng nói phổ biến như Google Assistant, Amazon Alexa, Facebook Portal và Apple Siri.
Nguồn: [Link nguồn]
Mới đây, trên mạng vừa xuất hiện một chiêu lừa độc lạ chuyển tiền vào tương lai, nhắm vào những người bán hàng trong dịp tết.