Au moins jusqu’en avril 2021, les haut-parleurs Google comme le Google Home Mini étaient censés permettre à des inconnus d’écouter inaperçus. La faille en matière de sécurité est comblée depuis longtemps, mais les détails ne sont pas vraiment réjouissants.
Haut-parleur Google avec trou de sécurité
Pendant longtemps, les haut-parleurs Google tels que le Google Home Mini présentaient une faille de sécurité béante, à travers laquelle des étrangers de l’extérieur pouvaient simplement écouter sans se faire remarquer. C’est ce qu’a rapporté un chercheur en sécurité sur son blog, qui avait testé l’écart avec son propre haut-parleur.
Sur son blog, le chercheur révèle que Google a payé une récompense pour avoir signalé l’écart en avril 2021, après quoi les rapports faisant état de la réduction de l’écart ont cessé. Cela a été suivi d’autres versements de primes au chercheur en avril 2022, ce qui signifie qu’il a reçu un total de 107 500 $ de Google.
Un chercheur reçoit plus de 100 000 $ de Google
Dans son article, il explique également en détail comment la vulnérabilité pourrait être exploitée, comment il l’a testée, et donne plus de détails techniques à toute personne intéressée.
« J’ai récemment été récompensé d’un total de 107 500 $ par Google pour avoir partagé de manière responsable une vulnérabilité dans les haut-parleurs intelligents Google Home qui permettait à des attaquants à portée sans fil d’installer un compte « porte dérobée » sur l’appareil », dit le chercheur.
Cela pourrait être utilisé pour envoyer des commandes aux haut-parleurs intelligents via Internet, accéder au flux du microphone et effectuer des requêtes HTTP arbitraires sur le réseau local de la victime. Il pourrait même apparemment être utilisé pour lire le mot de passe WLAN, tandis que les attaquants pourraient potentiellement accéder directement aux appareils d’autres victimes.
« Ces problèmes ont depuis été résolus » conclut le chercheur en introduction. C’est bon à savoir, même si bien sûr cela ne met pas trop en lumière les enceintes intelligentes et celles-ci en particulier dans l’écosystème Google.
Ce n’est que récemment, en août 2022, qu’une faille de sécurité a été découverte dans Google Chrome, qui a également pu être corrigée peu de temps après via une mise à jour.