Un error en los altavoces de Google Home dejó la puerta abierta a los ciberdelincuentes

Google Home se lanzó en el año 2016 y, desde entonces, han sido muchos los hogares que han disfrutado de sus prestaciones. Sin embargo, recientemente, ha salido a la luz que un error en los altavoces ha podido dejarles la puerta abierta a los ciberdelincuentes. Esto, sin duda, ha puesto en riesgo la privacidad de los usuarios.

La persona que se ha encargado de la investigación ha sido Matt Kunze, un ingeniero de software con una amplia experiencia. El fallo lo detectó en enero del 2021, pero no fue hasta dos meses después cuando este salió a la luz. Lo que desveló, preocupó a todos los que tenían altavoces de Google Home en el hogar: un fallo en la seguridad.

¿Cómo se descubrió este error en los altavoces de Google Home?

Para detectar este fallo de seguridad, lo que hizo Matt Kunze fue utilizar un script que desarrolló gracias al lenguaje de programación Python. Este se considera de alto nivel y está presente en buena parte del desarrollo de aplicaciones web, desarrollo de software y otras tareas que llevan a cabo los programadores a diario.

Como Python es un lenguaje tan eficiente y sus resultados son excelentes, Matt Kunze no dudó en emplearlo para sus fines. Así, en cuanto usó el script creado para acceder a los altavoces de Google Home, lo hizo concretamente con el modelo Google Home Mini, un error inesperado saltó en el sistema. ¿Lo peor? Llevaba tiempo activo.

Algo que muchos usuarios pensaron fue que si el script se probó en Google Home Mini, otras versiones podrían estar libres de dicho error. Sin embargo, Matt Kunze realizó las comprobaciones pertinentes con todos los modelos de altavoces Google Home. El resultado fue siempre el mismo. El error estaba presente en todos ellos.

¿Qué supuso haberlo encontrado?

El error en los altavoces de Google Home les abría las puertas a los ciberdelincuentes para que instalasen lo que se conoce como una cuenta de puerta trasera. Esta es una manera de entrar en los equipos sin ser visto y sin la necesidad de autenticarse. Lo que sucede con esto es que toda la información queda expuesta.

¿Cómo se consigue esto? Pues una de las primeras maneras, como explicó Matt Kunze, es obtener el firmware (código que controla lo que tiene que hacer el hardware de un dispositivo concreto) directamente desde el sitio web del proveedor. Una vez se accede, tan solo hay que descargarlo. Después, se realiza un análisis de la aplicación que interactúa con Google Home. Así, se obtiene ese firmware tan valioso.

No obstante, hay una segunda forma en la que los ciberdelincuentes se aprovecharon de este error en los altavoces de Google Home. Se trata de llevar a cabo el ataque MitM que intercepta toda la información que se transmite entre la aplicación y el dispositivo. Matt Kunze descubrió que se podían enviar comandos remotamente para añadir un nuevo usuario a Google Home sin demasiados problemas.

Cuando Matt Kunze implantó el script de Python se percató de que esto dejaba una vía abierta para que los ciberdelincuentes accediesen a los altavoces de Google Home invadiendo la privacidad de quienes los utilizaban. La peor noticia está en que puede que se hayan estado aprovechando de esto durante muchos años.

Acceso a los dispositivos y espionaje: las consecuencias de este error

Las consecuencias del error en los altavoces de Google Home no se hicieron esperar. Estaba claro que todas las conversaciones que mantienen las personas cerca de un dispositivo como este las utilizaban los ciberdelincuentes con la intención de robar información de valor. Asimismo, podían acceder tanto a la red WIFI como a otros elementos, como el propio MAC que puedan tener algunos usuarios en sus casas.

Este acceso al WIFI era especialmente interesante gracias a que, tras el envío de varios ataques, conseguían desconectar Google Home para conectarlo con otra configuración y, así, tener pleno control. Afortunadamente, en abril de 2021, se lanzó un parche para resolver este error que se estaba saltando la protección de datos de las personas.

Toda la tecnología es vulnerable de sufrir errores, por eso, las investigaciones pertinentes son necesarias con frecuencia para solucionar todo aquello que puede comprometer a los usuarios que emplean dispositivos como Google Home. Para ello, es importante mantenerlos actualizados, ya que siempre se lanzan mejoras con respecto a la seguridad que protegen la privacidad.