Google Home Hub: Das Smart Display lässt sich mit einfachen Befehlen aus dem Netzwerk kapern
In immer mehr Haushalten stehen Smart Speaker, die den Nutzern viele Informationen liefern, Fragen beantworten oder auch Aufgaben übernehmen und das Smart Home steuern können. Das macht die Geräte zu einem interessanten Ziel für Angreifer, bei dem es wohl nur eine Frage der Zeit ist, bis sie erfolgreich sind. Jetzt hat ein interessierter Bastler herausgefunden, dass sich Googles neues Smart Display Google Home Hub mit einfachen Befehlen ohne jegliche Authentifizierung steuern lassen.
Vor wenigen Wochen hat Google das erste eigene Smart Display Google Home Hub vorgestellt, das zwar in Europa noch nicht auf dem Markt ist, aber sicher auch hierzulande viele Käufer finden würde. Dieses Gerät soll die Erfolgsgeschichte der beiden Google Home-Geräte fortsetzen, die mittlerweile die Marktführung bei den Smart Speakern von Amazon übernommen haben. Sicherheitslücken kann man sich gerade in diesem sensiblen Bereich nicht erlauben.
Ein Google-Fan & Bastler, der ausdrücklich betont kein professioneller Sicherheitsforscher oder ähnliches zu sein, hat sich vor einigen Tagen ein Home Hub gekauft und das Gerät bzw. dessen über das Netzwerk gesendete Anfragen etwas genauer angesehen. Dabei fand er heraus, dass die Google Home-Geräte problemlos Befehle annehmen, ohne jede weitere Identifizierung, Sicherheitsstufen oder andere Möglichkeiten zur Absicherung. Mit relativ einfachen curl-Befehlen ließen sich folgende Dinge bewerkstelligen:
- Google Home Hub neu starten
- Systeminformationen auslesen
- Speedtest starten
- Informationen über das WLAN-Netzwerk ausgeben
- Das aktuelle WLAN-Netzwerk vom Gerät löschen
- Nach neuen WLAN-Netzwerken suchen
- Alarme und Timer auslesen
- Benachrichtigungen deaktivieren
- ALLE Google Home-Geräte im Netzwerk neu starten
- WLAN-Netzwerke von ALLEN Google Home-Geräten im Netzwerk löschen
Wie man sieht, ergeben sich keine Datenschutz-relevanten Probleme und es lassen sich keine sensiblen Informationen auslesen, die ein bereits im Netzwerk eingeloggter Angreifer nicht ohnehin schon hat. Dennoch sollten solche Dinge nicht ohne weitere Prüfung möglich sein. Die vollständigen Befehle für jede einzelne Aktion findet ihr bei Jerry Gamblin.
» Der Beitrag bei Jerry Gamblin
Siehe auch
» Google Home Hub & Fuchsia: Googles neuer Android-Konkurrent könnte auf dem Smart Display Premiere feiern
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Du meinst wohl eher „Alarme und Timer auslesen“ und nicht wie du geschrieben hast „Alarme und Timer ausgeben, weil so kann ich es der Quelle nicht entnehmen
Ist korrigiert, vielen Dank 🙂