Исследователь безопасности Джерри Гэмблин (Jerry Gamblin) обнаружил в ассистенте Google Home Hub незадокументированный API, позволяющий устройству получать команды от других систем в одной с ним сети Wi-Fi. С помощью этих команд злоумышленники могут, помимо прочего, перезагрузить Home Hub или даже отключить от сети Wi-Fi, из-за чего может потребоваться повторная настройка вручную с помощью соответствующего приложения.

Причиной проблемы является программный web-интерфейс Home Hub, о существовании которого ранее не сообщалось. Этот API может использоваться компьютером или устройством в одной сети с Home Hub для отправки команд ассистенту без какой-либо аутентификации.

«Я искренне потрясен убогостью общей безопасности этих устройств. […] Как правило, в такой ситуации я сообщил бы о проблемах, если они ранее не раскрывались, непосредственно Google. Однако, судя по большому количеству предшествующей работы online и наличию кода в их собственной кодовой базе, очевидно, что они знают (о проблемах – ред.)», – сообщил Гэмблин.

Представители Google подтвердили изданию The Register, что любое устройство, компьютер или смартфон (в том числе зараженные вредоносным ПО) в одной сети с Home Hub может отправлять ассистенту команды.

Узнать коды для перезагрузки устройства и удаления сети Wi-Fi можно из блога исследователя (здесь).

Источник: securitylab.ru