A veces ese bonito dispositivo electrónico inteligente que tienes situado en el salón o en la habitación puede acabar convirtiéndose en tu peor enemigo, y es que los piratas informáticos siempre están intentando descubrir distintas vulnerabilidades para acceder a los datos privados de los usuarios.

Y si tienes un altavoz Google Home desactualizado, estás en peligro, porque se acaba de confirmar que en los últimos meses ha existido una vulnerabilidad (ya corregida siempre y cuando tengas actualizado el dispositivo) y que permitía a un atacante externo espiar a la víctima.

Tal como informan desde bleepingcomputer, existía un error en el altavoz Google Home que permitía instalar una cuenta que podría usarse para controlarlo de forma remota y convertirlo en un dispositivo de espionaje. El investigador Matt Kunze descubrió la vulnerabilidad, informó a Google, y recibió una cuantiosa suma económica de 107.500 $.

Los detalles han salido ahora a la luz porque prácticamente todos los dispositivos Google Home están actualizados y ya ha pasado bastante tiempo, pero nos hacen ver que este tipo de dispositivos pueden acabar siendo peligrosos si no están actualizados.

Para llegar a la vulnerabilidad, el investigador utilizó su propio Google Home y descubrió que las nuevas cuentas añadidas mediante la aplicación podían enviar comandos de forma remota a través de la API en la nube.

Descubrió que agregar un nuevo usuario al dispositivo de destino es un proceso de dos pasos que requiere el nombre del dispositivo, el certificado y la ID de la nube de su API local, y con esta información podría enviarse una solicitud de enlace al servidor de Google.

En el blog del investigador se detallan los pasos:

• El atacante quiere espiar a la víctima dentro de la proximidad del Google Home pero no puede hacer mucho más porque no tiene la contraseña WiFi del objetivo.
• Sin embargo, el atacante descubre el Google Home de la víctima encontrando direcciones Mac con prefijos asociados con Google.
• Luego el atacante envía paquetes de desautorización para desconectar el dispositivo de su red y hacer que ingrese al modo de configuración.
• Con ello el atacante se conecta a la red de configuración de Google Home y solicita la información del dispositivo.
• El pirata informático se conecta a Internet y utiliza la información del dispositivo para vincular su cuenta.
• Finalmente el atacante ya puede espiar a la víctima a través de Google Home e Internet y no es necesario estar cerca del dispositivo.

Hipotéticas implicaciones

El atacante podría realizar acciones a través del altavoz de Google como controlar interruptores inteligentes, realizar compras online, desbloquear puertas o vehículos de forma remota, forzar el PIN del usuario para cerraduras inteligentes, y abusar del comando “llamar al [número de teléfono]” para activar al mismo tiempo el micrófono y escuchar las conversaciones.

También es posible reproducir medios en el altavoz inteligente comprometido, cambiar el nombre, forzar un reinicio o bien olvidar la redes WiFi almacenadas.

No deberías preocuparte, porque Google ya ha solventado este problema hace ya unos cuantos meses, y si tienes actualizado tu altavoz Google Home a las últimas actualizaciones no deberías tener ningún problema con esta vulnerabilidad.