Cette grave faille de Google Home permet à n'importe qui de vous écouter

La domotique se généralise et disposer d'appareils que l'on peut contrôler à la voix ou via mobile est très courant. Cependant, nous pouvons parfois trouver des vulnérabilités et des problèmes qui affectent sécurité ou confidentialité . Dans cet article, nous faisons écho à un problème avec Haut-parleurs Google Home qui a permis aux pirates d'écouter toutes les conversations. Un attaquant externe pourrait contrôler l'appareil à distance.

Faille de sécurité dans les enceintes Google Home

Cette grave faille de Google Home permet à n'importe qui de vous écouter

Plus précisément, il s'agit d'un bug dans les haut-parleurs de Google Home qui a permis à un attaquant d'installer une porte dérobée qui pourrait être utilisée pour l'écoute clandestine. Ils pourraient contrôler à distance l'appareil et accéder au microphone. Ils pourraient écouter les conversations et, logiquement, compromettre la vie privée de la victime.

Mais comment avez-vous détecté ce problème ? C'est grâce à un programme de primes détecter les vulnérabilités et Google a offert une somme financière pour cela. Sécurité le chercheur Matt Kunze est celui qui a fait la découverte et a ensuite publié les détails techniques et comment ils pourraient exploiter le problème.

Ce chercheur en sécurité a commencé à expérimenter un haut-parleur Google Home. Il a trouvé que nouveaux comptes ajoutés via l'application Google Home pourrait envoyer des commandes à distance via l'API cloud. Il était capable de capter le trafic. Je pourrais envoyer une demande de lien au serveur Google et être en mesure d'initier le lien.

On GitHub il a téléchargé le rapport complet sur la façon dont il a réussi à exploiter ce bogue. Il y montre comment il est possible d'espionner une victime sur Internet à l'aide d'une enceinte Google Home.

Ce qu'ils peuvent faire via le haut-parleur Google Home

Avoir un compte non autorisé lié à un haut-parleur Google Home peut être un problème majeur. Cela permet à un attaquant de contrôler les prises intelligentes, d'effectuer des achats en ligne ou même d'accéder à des serrures intelligentes qui peuvent être liées.

A tout cela, il faut ajouter la possibilité de activer le micro à un certain moment. Pour ce faire, ils peuvent passer un appel vers un téléphone contrôlé par l'attaquant. Fondamentalement, ce qu'il fait est d'écouter cet appel, d'écouter tout ce qui se dit à l'autre bout, sur le microphone du haut-parleur Google Home. Une façon d'espionner la victime.

Mais la victime ne remarquerait-elle rien si elle écoutait ? La seule chose que vous verriez est le LED bleue lumière allumée. Cela indiquerait qu'un appel est en cours, mais peut être confondu avec une mise à jour du micrologiciel.

Un attaquant pourrait même jouer de l'audio sur ce haut-parleur. Cela pourrait également forcer l'appariement avec d'autres appareils, qu'ils soient Bluetooth ou Wi-Fi, et oublier les réseaux sans fil liés.

Comment éviter d'être espionné de la sorte si vous avez une enceinte Google Home ? La solution est très simple : assurez-vous d'avoir le firmware mis à jour. Sans surprise, une fois que le chercheur en sécurité a informé Google, ils se sont mis au travail et ont publié des correctifs pour résoudre le problème. Si vous disposez des dernières versions, vous ne devez pas craindre cette vulnérabilité.