Bug dans Google Home permettant les écoutes illicites

google home mini

Le chercheur en sécurité Matt Kunze a découvert la vulnérabilité en 2021. Ce n’est qu’après plusieurs mois que Google a trouvé une solution.

Une vulnérabilité dans l’écosystème Google Home a permis l’écoute des utilisateurs. Grâce à une faille, le chercheur en sécurité Matt Kunze a obtenu les données nécessaires pour exécuter certaines commandes via son Google Home Mini. Ce n’était pas vraiment facile, mais Google l’a quand même récompensé pour sa découverte, deux fois même.

Déconnexion

Dans son billet de blog, le chercheur explique en détail sa démarche. Tout d’abord, l’attaquant doit utiliser une attaque de désauthentification Wi-Fi pour rompre la connexion entre le produit Google Home et le réseau local. L’attaquant doit donc se trouver à proximité du réseau Wi-Fi, mais ce n’est pas nécessaire de connaître le mot de passe. L’attaquant demande ensuite des données via une connexion internet et fait redémarrer l’appareil. De cette façon, l’attaquant obtient des données telles que le nom de l’appareil, le certificat et même l’ID cloud.

Avec les données de l’appareil en main, l’attaquant peut se connecter de n’importe où. Pour ce faire, il n’a plus besoin d’être à proximité de l’appareil. Pour cette action, le chercheur a utilisé un programme spécial pour lancer le processus d’installation de son haut-parleur intelligent. Il a ensuite relié cet appareil à un nouveau compte. En appelant silencieusement son propre numéro, le chercheur a pu l’écouter. Dans son cas, il s’agissait de son propre Google Home Mini.

Rémunération en deux parties

Matt Kunze a découvert la vulnérabilité au début de 2021, il y a deux ans. Presque immédiatement, il a prévenu Google. Le géant de la technologie s’est mis au travail sur les données de recherche, bien qu’un véritable correctif ne soit pas attendu avant plusieurs mois. Parallèlement, Kunze a obtenu 100 000 dollars sur son compte. Quelques mois plus tard, Google a augmenté la récompense pour la découverte de faiblesses dans les appareils de Google Nest et FitBit. Selon Tweakers, Kunze a passé la caisse une seconde fois à ce moment-là.

newsletter

Abonnez-vous gratuitement à ITdaily !

Category(Required)
This field is for validation purposes and should be left unchanged.