Una API "no documentada" de Google Home Hub permite acceder a funciones del dispositivo sin autenticación y reiniciarlo

Actualizado 31/10/2018 18:23:23 CET
Google Home Hub
GOOGLE

   MADRID, 31 Oct. (EDIZIONES/Portaltic) -

El asistente inteligente Google Home Hub presenta una interfaz de programación de usuario (API) no documentada a través de la cual es posible forzar el reinicio del dispositivo, afectar a la red WiFi a la que está conectado o desactivar las notificaciones mediante el uso de comandos determinados y sin necesidad de autenticación.

El especialista en seguridad de redes Jerry Gamblin identificó varios puertos abiertos en la red a la que se conectaba su Home Hub, e informó de ello a través de su blog personal. En la publicación se recoge el descubrimiento de una "API no documentada" a través de la cual se podía utilizar un dispositivo externo para forzar el reinicio del asistente de Google si se utilizaba un comando específico.

   Gamblin afirma que al utilizar dicha interfaz y escribir diferentes códigos se puede obtener información básica del dispositivo, así como conseguir información relativa a las redes WiFi o desactivar las notificaciones, además de forzar su reinicio, o incluso hacer inutilizable el aparato hasta que no se configura manualmente de nuevo.

   En su cuenta de Twitter, el especialista en seguridad escribe que con estos 'exploits' remotos no se necesita acceso físico para acceder a un sistema. Asimismo, explica que la información relativa a los 'endpoints', o sistemas de seguridad encargados de gestionar y controlar los dispositivos que pueden acceder a una red, "está en línea desde 2012 y no parece que Google haya hecho nada para protegerlos (en referencia a los Google Home Hub)".

  Google ha respondido que "todos los dispositivos de Google Home están diseñados teniendo en cuenta la seguridad y privacidad del usuario, y utilizan un mecanismo de arranque protegido por 'hardware' para garantizar que solo se use el código autenticado por Google", en un mensaje al medio Audio Authority.

En su respuesta, Google concluye que "a pesar de lo que se ha afirmado, no hay evidencia de que la información del usario esté en riesgo" y ha añadido que solo se puede acceder a las API mencionadas en caso de estar conectado a la misma red WiFi que el dispositivo, además de que cualquier comunicación que lleve información del usuario está "autenticada y encriptada".