کشف آسیبپذیری بحرانی در Google Home
Google Home یا Nest شامل محصولات خانه هوشمند از جمله اسپیکرهای هوشمند، نمایشگرهای هوشمند، روترها و سیستمهای امنیتی از جمله زنگهای هوشمند درب، دوربینها و قفلهای هوشمند میباشد که اخیراً دو آسیبپذیری امنیتی به شرح ذیل در این نرمافزار شناسایی شده است:
• CVE-2023-48419 : مهاجم در محدودهی وایفای از یک هدف Google Home میتواند به جاسوسی از قربانی بپردازد که این امر منجر به ارتقاء سطح دسترسی وی خواهد شد. شدت این آسیبپذیری بحرانی(10.0) میباشد.
• CVE-2023-6339 : ماجم از طریق اجرای کد و رسیدن به دسترسی root ، دادههای کاربر را در Google Nest WiFi Pro تهدید میکند. شدت این آسیب پذیری بحرانی (10.0) میباشد.
بر اساس بردار حمله این آسیبپذیری (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)، بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L). برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و مهاجم به تعامل با کاربر نیز نیاز ندارد (UI:N). بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:C) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرند.
محصولات تحت تأثیر
محصولات Google Nest و Home تحت تأثیر این آسیبپذیری قرار دارد.
توصیههای امنیتی
کاربران باید هرچه سریعتر Google Home خود را به نسخه 2.58 یا ارتقاء دهند.