Un chercheur en sécurité révèle une faille alarmante dans les haut-parleurs intelligents de Google Home.



Au début de l'année, Google a accordé 107 500 dollars à un chercheur en sécurité pour avoir découvert des vulnérabilités dans les haut-parleurs intelligents de la société. Le chercheur a démontré que ces vulnérabilités pouvaient être exploitées pour lier des comptes secondaires aux appareils domestiques intelligents de Google, puis contrôler les appareils à des fins néfastes, y compris l'écoute des propriétaires des appareils. Heureusement, le chercheur a signalé cette vulnérabilité à Google, plutôt que d'en abuser, mais rien ne dit qu'il a été le premier à découvrir et à exploiter ces vulnérabilités.







Les appareils de maison intelligente de Google sont conçus pour être contrôlés par des téléphones exécutant l'application Google Home. Cette application communique avec les appareils intelligents via HTTPS, qui est un protocole de communication crypté. Cependant, le chercheur a découvert qu'il pouvait utiliser un téléphone Android enraciné et un script trouvé sur GitHub pour intercepter et décrypter ce trafic HTTPS, ce qui lui permet de lire le trafic en clair. Ensuite, en lisant les communications entre son Google Home Mini et son téléphone exécutant l'application Google Home, le chercheur a pu déterminer les requêtes précises utilisées pour ajouter un compte Google à un appareil de maison intelligente Google.



Fort de ces connaissances, le chercheur a pu élaborer et transmettre une requête personnalisée à son Google Home Mini afin de lier un deuxième compte Google à l'appareil. Ce faisant, le chercheur a prouvé que toute personne non autorisée pouvait se garer discrètement près d'une maison contenant un appareil domestique intelligent de Google et relier sans fil un compte Google "backdoor" à cet appareil. Une fois ce lien établi, l'acteur de la menace peut quitter la zone et envoyer des commandes à l'appareil intelligent à distance.







Le chercheur a également découvert qu'un acteur de la menace pouvait abuser de cet accès non autorisé pour effectuer de multiples actions malveillantes. L'exploit le plus inquiétant démontré par le chercheur est sans doute la possibilité de créer une routine d'appel téléphonique sur un appareil compromis. Cette routine appelle un numéro de téléphone spécifique et transmet le son provenant du microphone d'un appareil intelligent. Il est à noter que les appareils domestiques intelligents de Google n'émettent pas de signal sonore lorsqu'un appel téléphonique est passé et que les LED ne pulsent pas comme elles le font habituellement lorsque le microphone est actif ; les LED s'allument simplement en bleu. Ainsi, un acteur menaçant pourrait mettre en place une routine d'appel téléphonique pour écouter les conversations qui ont lieu dans une maison occupée par une enceinte intelligente compromise.



En plus de l'écoute, le chercheur a découvert qu'un acteur menaçant pouvait tirer parti d'un accès non autorisé aux appareils domestiques intelligents de Google pour émettre des requêtes HTTP arbitraires sur les réseaux auxquels ces appareils sont connectés, donnant ainsi aux acteurs menaçants un accès aux réseaux internes des victimes. Le chercheur a également démontré la possibilité de lire et d'écrire des fichiers arbitraires sur les appareils compromis.



Heureusement, Google a maintenant corrigé ces vulnérabilités en ajoutant de multiples améliorations de sécurité aux processus de liaison et de configuration des comptes. Avec un peu de chance, les acteurs de la menace ne devraient donc plus être en mesure d'exploiter les appareils domestiques intelligents de la manière démontrée par le chercheur. Cependant, nous ne savons pas si des acteurs de la menace ont découvert et exploité ces vulnérabilités dans la nature avant que Google ne les corrige.



HOTHARDWARE