Un error en los altavoces inteligentes de Google Home permitía instalar cuentas de puerta trasera para controlarlos de forma remota y espiar las conversaciones de los usuarios. Un investigador llamado Matt Kunze descubrió el problema de seguridad y recibió 107.500 dólares en compensaciones de parte de Google por informar “de manera responsable” su hallazgo el año pasado. Esta semana, Kunze proporcionó en su blog personal detalles técnicos relacionados con la falla.

Mientras experimentaba con su propio altavoz, el investigador descubrió “lo fácil que era agregar nuevos usuarios al dispositivo desde la aplicación Google Home”. “También noté que vincular tu cuenta al dispositivo te da una cantidad sorprendente de control sobre él”, señaló. Fue entonces, cuando “decidí investigar el proceso de vinculación y determinar qué tan fácil sería vincular una cuenta desde la perspectiva de un atacante”, agregó Kunze.

Primero, se debe estar en las proximidades inalámbricas del dispositivo y atento a las direcciones MAC con prefijos asociados a Google. Posteriormente, se puede desconectar el dispositivo de la red mediante un comando de desautorización y activar el modo de configuración. El paso final es solicitar información del dispositivo y usarla para vincular la cuenta. Al completar el proceso, se puede espiar a los propietarios de los altavoces a través de Internet.

Kunze descubrió los problemas en enero de 2021 y Google acabó por solucionarlo en abril del mismo año. La compañía creó un nuevo sistema basado en invitaciones para vincular cuentas, bloqueando cualquier cuenta que no se haya agregado en Home. “Muchos otros investigadores de seguridad ya habían echado un vistazo a Google Home antes que yo, pero parece que ninguno de ellos notó estos problemas en apariencia evidentes”, indicó el investigador, señalando que Google Home es un dispositivo “crítico para la seguridad, debido al hecho de que tiene control sobre otros dispositivos domésticos inteligentes y un micrófono”, reportó RT.