聚焦源代码安全,网罗国内外最新资讯!
编译:360代码卫士团队
安全研究员 Jerry Gamblin 表示,Google Home Hub 助手中的一个未公开 API 竟然能将自己踢出无线网络。
Gamblin 表示,这个 API 可导致设备从系统和共享本地无线网络的手持设备接受命令,能够重启设备甚至将其从无线网络中踢出来,使用户不得不进行手动配置。
Gamblin 表示,问题产生的原因是 Google Home Hub 包含一个基于 web 的软件界面,但它并未公开。计算机或位于同一 WiFi 网络的设备可使用该 API,在未经认证的情况下在目标语音助手设备上执行各项任务。
Gamblin 在本周早些时候解释称,web 请求可被用于执行各种指令,如显示基础的系统数据或运行速度测试等。另外还可显示当前配置的网络信息。
更重要的是,API 还可被用于发出各种命令如导致 Home Hub 重新启动或从设备删除当前配置的网络。断开网络连接降临时导致 Home Hub 无法使用,用户将不得不通过 Google Home app 重新进行手动配置。
重启命令如下:
删除的网络命令:
相信每个人都会负责任地使用这些代码且出于良好意图。无需多言,Gamblin 对自己新入手的 Google Home Hub 的安全性如此之差表达震惊之情。他表示,“这些设备的整体安全状态真的让我感到震惊,当你知道这些终端已存在多年且它们记录还是相对良好时更是如此。”
他还表示,“如果此前问题并未披露,那么我一般都会直接将问题告知谷歌,但单从此前网上的披露情况以及他们自己代码库中提交的代码来看,他们显然了解这一情况。”
谷歌公司的一名发言人证实称,任何与 Home Hub 出于同一 WiFi 网络上的设备、计算机或智能手机都能以上述方法向语音助手发出命令,其中包括计算机上的恶意软件。例如,这篇文章中提到的 API 被移动 app 用于配置设备,而且只有当这些 app 以及 Google Home 设备位于同一 WiFi 网络时才会遭访问。
推荐阅读
原文链接
https://www.theregister.co.uk/2018/10/31/google_home_api/
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。