អ្នកស្រាវជ្រាវសន្តិសុខបានទទួលរង្វាន់ជាប្រាក់ចំនួន ១០៧,៥០០ដុល្លារ ពីការស្វែងរកបញ្ហា ដែលហេគឃ័រអាចដំឡើងទ្វារក្រោយ និងត្រលប់ឧបករណ៍នោះទៅជាត្រូវការខ្សែ នៅក្នុងឧបករណ៍បំពងសម្លេងឆ្លាតវៃ Google Home។
នៅក្នុងសប្តាហ៍នេះ អ្នកស្រាវជ្រាវឈ្មោះ Matt បានបង្ហាញប្រាប់ពីកំហុសនេះថាៈ បានអនុញ្ញាតឱ្យហេគឃ័រអាចដំឡើងទ្វារក្រោយ នៅលើឧបករណ៍នេះ ហើយបើកឱ្យពួកគេផ្ញើ commands ដើម្បីបញ្ជាតាមអុីនធឺណិត, ចូលប្រើព័ត៌មានមីក្រូហ្វូន, ធ្វើសំណើ HTTP តាមចិត្តនៅក្នុង LAN របស់ជនរងគ្រោះ។ នៅក្នុងសំណើបែបនេះ ហេគឃ័រមិនត្រឹមតែអាចបង្ហាញលេខសម្ងាត់ Wi-Fi ប៉ុណ្ណោះទេ ថែមទាំងអាចចូលប្រើបណ្តាញ network នោះថែមទៀត បើយោងតាមការបង្ហាញរបស់គាត់កាលពីថ្ងៃទី៨ ខែមករា ឆ្នាំ២០២១ និង Google កាលពីខែមេសា ឆ្នាំ២០២១។ បញ្ហាស្នូលគឺថា អ្នកអភិវឌ្ឍកម្មវិធី Google Home បានបើកឱ្យអ្នកប្រើគណនី Google ខិលខូច អាចវាយប្រហារលើឧបករណ៍ដោយស្វ័យប្រវត្តិ។
អ្នកស្រាវជ្រាវបានពណ៌នាលម្អិតពីខ្សែច្រវាក់នៃការវាយប្រហារថា ហេគឃ័រដែលចង់លួចស្តាប់ជនរងគ្រោះ ដោយបញ្ឆោតបុគ្គលនោះឱ្យដំឡើងកម្មវិធី Android ក្លែងក្លាយ ហើយនៅពេលរកឃើញឧបករណ៍ Google Home នៅលើបណ្តាញ network វាចេញសំណើ HTTP លួចលាក់ដើម្បីភ្ជាប់គណនីអ្នកវាយប្រហារ ទៅកាន់ឧបករណ៍របស់ជនរងគ្រោះ។ ដើម្បីភ្ជាប់ជនរងគ្រោះ វាបិទ Wi-Fi ដោយបង្ខំឱ្យឧបករណ៍ Google Home ផ្តាច់ចេញពីបណ្តាញ បន្ទាប់មកឧបករណ៍នេះអាចចូលទៅកាន់ “setup mode” រួចបង្កើត និងបើក Wi-Fi ដោយខ្លួនវាផ្ទាល់។ ហេគឃ័រអាចភ្ជាប់បណ្តាញ network របស់ឧបករណ៍ និងស្នើសុំព័ត៌មានលម្អិតដូចជា៖ ឈ្មោះឧបករណ៍, cloud_device_id និង certificate និងប្រើព័ត៌មានទាំងនេះដើម្បីភ្ជាប់គណនីរបស់គេទៅកាន់ឧបករណ៍របស់ជនរងគ្រោះ។ ជាលទ្ធផល ហេគឃ័រអាចកេងប្រវញ្ចពី Google Home routines ដោយបិទសម្លេង និងទូរសព្ទទៅកាន់លេខណាមួយ គ្រប់ពេលនៃការវាយប្រហារលើជនរងគ្រោះតាមរយៈឧបករណ៍មីក្រូហ្វូន។
គួរកត់សម្គាល់ដែរថាៈ កាលពីខែវិច្ឆិកា ឆ្នាំ២០១៩ ក្រុមស្រាវជ្រាវបានរៀបរាប់ពីបច្ចេកទេសវាយប្រហារឈ្មោះ Light Commands ដែលសំដៅលើភាពងាយរងគ្រោះនៃមីក្រូហ្វូន MEMS microphones ដែលអនុញ្ញាតឱ្យហេគឃ័របញ្ជាបិទសម្លេងពីចម្ងាយ និងមើលមិនឃើញ commands ដូចជានៅលើឧបករណ៍ Google Assistant, Amazon Alexa, Facebook Portal, និង Apple Siri ដែលប្រើភ្លើង ជាដើម៕
