Matt Kunze, un hacker éthique, a signalé des bugs d’écoute électronique dans les haut-parleurs intelligents Google Home, pour lesquels il a reçu une prime de bug d’une valeur de 107 500 $.

Google Assistant est actuellement plus populaire parmi les propriétaires de maisons intelligentes qu’Amazon Alexa et Apple Siri, compte tenu de son intuitivité supérieure et de sa capacité à mener de longues conversations. Cependant, selon les dernières recherches, une vulnérabilité dans Haut-parleurs Google Home Smart pourrait permettre aux attaquants de contrôler l’appareil intelligent et d’écouter les conversations des utilisateurs à l’intérieur.

Table des matières hide
1 Détails des constatations
2 Dangers possibles
3 Quelle est la cause du problème ?
4 Nouvelles connexes

Détails des constatations

La vulnérabilité a été identifiée par Matt Kunze, un chercheur en sécurité utilisant le surnom de DownrightNifty Matt. Les chercheurs ont révélé que si elle était exploitée, la vulnérabilité pourrait permettre l’installation de portes dérobées et convertir les haut-parleurs Google Home Smart en dispositifs d’écoute électronique. De plus, Google a résolu le problème en avril 2021 à la suite d’une divulgation responsable le 8 janvier 2021 et du développement d’une preuve de concept pour l’entreprise.

Dangers possibles

Cette vulnérabilité pourrait permettre à un adversaire présent à proximité sans fil de l’appareil d’installer un compte de porte dérobée sur l’appareil et de commencer à envoyer des commandes à distance, d’accéder au flux de microphone et de lancer des requêtes HTTP arbitraires. Tout cela pourrait être possible si l’attaquant se trouve dans la plage LAN de l’utilisateur parce qu’il fait des requêtes malveillantes expose le mot de passe Wi-Fi de l’appareil et fournit à l’attaquant un accès direct à tous les appareils connectés au réseau.

Quelle est la cause du problème ?

Matt a découvert que le problème était causé par l’architecture logicielle utilisée dans les appareils Google Home, car elle permettait à un adversaire d’ajouter un compte utilisateur Google malveillant aux appareils domestiques intelligents de sa cible.

Publicité

Un acteur de la menace inciterait l’individu à installer une application Android malveillante pour que l’attaque fonctionne. Il détectera un appareil domotique Google connecté au réseau et commencera furtivement à émettre des requêtes HTTP pour lier le compte de l’acteur de la menace à l’appareil de la victime.

En outre, l’attaquant pourrait lancer une attaque de désauthentification Wi-Fi pour déconnecter l’appareil Google Home du réseau et forcer l’appliance à lancer un mode de configuration et à créer un réseau Wi-Fi ouvert. Par la suite, l’attaquant peut se connecter à ce réseau et demander des détails supplémentaires tels que le nom de l’appareil, le certificat et cloud_device_id. Ils pourraient utiliser les informations et connecter leur compte à l’appareil de la victime.

Selon Matt’s Article de blog, l’attaquant pourrait effectuer une gamme de fonctions, telles que baisser le volume du haut-parleur à zéro et passer des appels à n’importe quel numéro de téléphone en dehors de l’espionnage de la victime via le microphone. La victime ne soupçonnera rien car seule la LED de l’appareil devient bleue lorsque l’exploitation se produit, et l’utilisateur penserait que le firmware est en cours de mise à jour.

Matt a réussi à connecter un compte d’utilisateur inconnu à un haut-parleur Google Home. Il a créé un Compte de porte dérobée sur l’appareil ciblé et a obtenu des privilèges sans précédent qui lui ont permis d’envoyer des télécommandes à la mini enceinte intelligente Home, d’accéder à son alimentation microphone, etc. Regardez la démo partagée par le chercheur :

YouTube video

Il convient de noter qu’il n’y a aucune preuve que cette faille de sécurité ait été utilisée à mauvais escient depuis sa détection en 2021. Étant un hacker éthique, le chercheur a informé Google du problème, et il a été corrigé. Matt a reçu un Bug Bounty d’une valeur de 107 500 $ pour la détection de cette faille de sécurité.

  1. Google Home Mini Conversations secrètement enregistrées
  2. Dispositifs d’assistance vocale manipulés par ondes ultrasonores
  3. La télécommande vocale Comcast pourrait être transformée en outil d’espionnage
  4. Utiliser le laser sur Alexa et Google Home pour déverrouiller votre porte d’entrée
  5. DolphinAttack: les applications d’assistant vocal Siri et Alexa peuvent être piratées
Rate this post
Publicité
Article précédentAvertissement pour tous ceux qui utilisent Google – les recherches dangereuses pourraient vous coûter cher
Article suivantLa deuxième vidéo promotionnelle de Buddy Daddies Anime révèle les artistes de la chanson à thème – News 24
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici