Google se serait certainement épargné ce scandale : les hackers ont trouvé un moyen d'espionner les conversations qui se tenaient à proximité des enceintes de Google Home. L'espionnage a été rendu possible par un bogue logiciel. Cette vulnérabilité a maintenant été corrigée par Google, mais elle montre une fois de plus à quel point les haut-parleurs intelligents peuvent être délicats. Le magazine en ligne Bleeping Computer rapporte maintenant comment la vulnérabilité a été découverte et ce qui se cache exactement derrière . Selon cela, un chercheur a signalé la vulnérabilité à Google l'année dernière et a reçu 107 500 $ pour cela - une récompense relativement élevée qui montre également la gravité du problème. Les pirates ont pu installer un compte de porte dérobée pour les haut-parleurs intelligents de Google Home, avec lequel l'appareil pouvait ensuite être contrôlé à distance et transformé en un parfait appareil d'espionnage en accédant au microphone.
Le chercheur en sécurité a découvert cette possibilité en expérimentant son Google Home Mini. Il a trouvé le port de l'API HTTP locale de Google Home et a configuré un proxy pour intercepter le trafic HTTPS chiffré, dans l'espoir de voler le jeton d'autorisation de l'utilisateur. Le chercheur a découvert que l'ajout d'un nouvel utilisateur à l'appareil cible est un processus en deux étapes qui nécessite le nom de l'appareil, le certificat et "l'ID cloud" de l'API locale. Avec les informations qu'il avait recueillies, il a finalement pu lancer une attaque et même démarrer le microphone pour enregistrer des conversations. Google a corrigé les vulnérabilités exploitées par le chercheur en avril 2021. On ne sait pas si la vulnérabilité a été activement exploité.
Le chercheur en sécurité a découvert cette possibilité en expérimentant son Google Home Mini. Il a trouvé le port de l'API HTTP locale de Google Home et a configuré un proxy pour intercepter le trafic HTTPS chiffré, dans l'espoir de voler le jeton d'autorisation de l'utilisateur. Le chercheur a découvert que l'ajout d'un nouvel utilisateur à l'appareil cible est un processus en deux étapes qui nécessite le nom de l'appareil, le certificat et "l'ID cloud" de l'API locale. Avec les informations qu'il avait recueillies, il a finalement pu lancer une attaque et même démarrer le microphone pour enregistrer des conversations. Google a corrigé les vulnérabilités exploitées par le chercheur en avril 2021. On ne sait pas si la vulnérabilité a été activement exploité.
Envoyer une nouvelle à un ami