Les enceintes Google Home pourraient avoir été piratées pour espionner vos conversations

Toutes les couleurs différentes du Google Home Mini
(Crédit photo: Google)

Certains haut-parleurs intelligents Google Home auraient pu être détournés par des pirates avec la prise de contrôle de l'appareil à distance, et même l'écoute des conversations privées des gens, selon un expert en sécurité.

Le bug a été découvert par le chercheur en cybersécurité Matt Kunze, qui a reçu une prime de 107 500 dollars pour l'avoir signalé de manière responsable à Google.

Kunze, qui enquêtait sur sa mini enceinte Google Home personnelle pour détecter d'éventuels problèmes, a expliqué dans un billet de blog comment il a trouvé un moyen d'ajouter un autre compte Google à l'appareil, ce qui serait suffisant pour pouvoir écouter les utilisateurs.

Ajout de comptes pirates

Tout d'abord, l'attaquant doit se trouver à portée de la connexion sans-fil de l'appareil et repérer les adresses MAC dont le préfixe est associé à Google.

Ensuite, il peut envoyer des paquets deauth, pour déconnecter l'appareil du réseau et déclencher le mode d'installation. En mode configuration, il demande des informations sur l'appareil et utilise ces informations pour lier son compte à l'appareil et - voilà ! - Il peut maintenant espionner les propriétaires de l'appareil sur Internet et s'éloigner du WiFi.

Mais le risque est plus grand que la "simple" écoute des conversations des individus. De nombreux utilisateurs d'enceintes domestiques intelligentes connectent leurs appareils à divers autres dispositifs intelligents, tels que des serrures de porte et des interrupteurs intelligents. En outre, le chercheur a trouvé un moyen d'abuser de la commande "appeler le numéro de téléphone", et de faire en sorte que l'appareil appelle l'attaquant à un moment précis pour lui transmettre le son en direct.

Le bug a été découvert au début de l'année 2021 et corrigé en avril 2022. Google a résolu le problème en créant un nouveau système de liaison des comptes sur invitation, bloquant tous les comptes non ajoutés sur Home.

Cela étant dit, pour s'assurer qu'il n'y a aucun risque, il est conseillé aux utilisateurs de Google Home de mettre à jour le firmware de l'appareil à la dernière version dès que possible.

Via: BleepingComputer (s'ouvre dans un nouvel onglet)

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.