Imaginez si quelqu’un écoutait les conversations qui se déroulaient chez vous. Vous vous sentiriez certainement vulnérable. Un chercheur nommé Matt Kunze a découvert que les pirates peuvent vous espionner, vous et votre famille, via un haut-parleur intelligent Google Home. D’après
BleepingComputer (via
AndroidCentral), Kunze était en train de jouer avec un Nest Mini lorsqu’il a découvert qu’un compte malveillant ou « backdoor » pouvait être créé à l’aide de l’application Google Home. Ce compte pourrait ensuite être utilisé pour contrôler le haut-parleur intelligent donnant à un mauvais acteur l’accès à distance à l’alimentation du microphone et à d’autres fonctionnalités de l’appareil.
Kunze a reçu 107 500 $ de
Google (en anglais) pour avoir découvert cette vulnérabilité qui a transformé le Google Nest Mini d’un haut-parleur intelligent en un appareil capable d’espionner les conversations de l’utilisateur et plus encore. Le compte escroc peut être utilisé pour contrôler le haut-parleur intelligent en lui envoyant des commandes à distance via l’API cloud (interface de programmation d’application). L’API permet à deux programmes informatiques ou plus de communiquer.
Les informations nécessaires pour pirater le Nest Mini incluraient le nom de l’appareil, le certificat et l’ID Cloud. Avec ces informations, le pirate peut envoyer une demande au serveur de Google demandant un lien vers le haut-parleur intelligent permettant à l’appareil d’être utilisé pour effectuer des transactions en ligne, contrôler les appareils intelligents, déverrouiller la porte d’entrée, et plus encore. Le pirate pourrait également demander à l’orateur d’appeler son téléphone lui permettant d’écouter une conversation se déroulant autour de la maison à l’aide du microphone de l’orateur.
Le chercheur a pu y parvenir en créant une routine malveillante qui incluait l’appel [phone number]« commande. Cela a activé le microphone à une heure spécifiée, appelant le téléphone de l’attaquant (comme nous l’avons mentionné dans le paragraphe ci-dessus) lui permettant d’écouter via le microphone sur le haut-parleur intelligent. Kunze a enregistré une vidéo montrant comment le microphone du Nest Mini peut envoyer des conversations à un smartphone, qui dans ce cas serait en possession du mauvais acteur.
Le paramètre malveillant qui permet au haut-parleur intelligent de capturer l’audio du microphone du haut-parleur
Le problème a été découvert par Kunze en janvier 2021 et Google l’a résolu en avril 2021. Toute personne exécutant le dernier firmware ne devrait pas être concernée par ce problème.
