亚洲国产高清在线观看视频_日韩欧美国产aⅴ另类_奇米影视7777久久精品_欧美 国产 亚洲 卡通 综合

您的位置:首頁(yè) > 資訊 >

安全專(zhuān)家報(bào)告 Google Home 嚴(yán)重漏洞獲得谷歌 107500 美元賞金


【資料圖】

IT之家 12 月 30 日消息,安全研究專(zhuān)家馬特?昆茨(Matt Kunze)去年向谷歌報(bào)告了 Google Home 的嚴(yán)重漏洞,近期獲得了谷歌 107500 美元(約 74.9 萬(wàn)元人民幣)的高額賞金。

IT之家了解到,在 Google Home 智能音響設(shè)備上發(fā)現(xiàn)了一個(gè)漏洞,攻擊者可以利用該漏洞安裝后門(mén)賬戶(hù),用于遠(yuǎn)程控制并可激活麥克風(fēng)用于監(jiān)聽(tīng)用戶(hù)對(duì)話(huà)。昆茨在本周早些時(shí)候披露了該漏洞的所有技術(shù)細(xì)節(jié),以及如何利用該漏洞。

昆茨通過(guò) Nmap 掃描,找到了 Google Home 本地 HTTP API 的端口。于是他設(shè)置了一個(gè)代理來(lái)捕獲加密的 HTTPS 流量,希望劫持用戶(hù)授權(quán)令牌。

研究人員發(fā)現(xiàn),向目標(biāo)設(shè)備添加新用戶(hù)需要兩個(gè)步驟,需要設(shè)備名稱(chēng)、證書(shū)和來(lái)自其本地 API 的“云 ID”。有了這些信息,他們就可以向谷歌服務(wù)器發(fā)送鏈接請(qǐng)求。

更令人擔(dān)憂(yōu)的是,研究人員找到了一種濫用“call [電話(huà)號(hào)碼]”命令的方法,將其添加到惡意例程中,該例程會(huì)在指定時(shí)間激活麥克風(fēng),呼叫攻擊者的號(hào)碼并發(fā)送實(shí)時(shí)麥克風(fēng)饋送。

昆茨于 2021 年 1 月發(fā)現(xiàn)了這些問(wèn)題,并于 2021 年 3 月發(fā)送了更多詳細(xì)信息和 PoC。谷歌于 2021 年 4 月修復(fù)了所有問(wèn)題。

標(biāo)簽: Google

相關(guān)閱讀

和龙市| 鄂伦春自治旗| 团风县| 滦平县| 柏乡县| 湄潭县| 辛集市| 两当县| 新巴尔虎左旗| 翁牛特旗| 江都市| 云龙县| 调兵山市| 甘孜县| 周宁县| 永春县| 登封市| 建始县| 博兴县| 柳江县| 稻城县| 梅河口市| 兴国县| 建水县| 乳源| 上饶县| 新源县| 山东| 古丈县| 千阳县| 满城县| 银川市| 桦甸市| 聊城市| 饶阳县| 阜南县| 绥芬河市| 大理市| 定安县| 柘城县| 师宗县|