La vulnérabilité d'Alexa et de Google Home permet l'écoute et le phishing
Des experts de Security Research Labs (SRLabs) ont révélé une nouvelle faille de sécurité dans les haut-parleurs intelligents de Google et d'Amazon. Ils ont réussi non seulement à écouter les conversations, mais aussi à révéler des mots de passe.
Déguisé en téléchargement innocent d'une simple compétence Alexa ou d'une action Google, un malware peut enregistrer silencieusement des conversations ou même demander des mots de passe. C'est ce qu'ont démontré les chercheurs en sécurité de SRLabs via un logiciel tiers. La démonstration n'était pas seulement un appel à Google et Amazon pour qu'ils revoient leurs exigences en matière de tiers, mais aussi un appel aux utilisateurs pour qu'ils retirent les logiciels tiers de leur appareil lorsqu'ils ne les utilisent pas.
Attention aux logiciels tiers
Il n'existe pas encore de preuve que cette vulnérabilité a été exploitée. Les chercheurs de SRLabs ont fait part de leurs conclusions à Google et Amazon avant de les rendre publiques. Les Security Research Labs ont publié sur leur page d'accueil un guide sur la manière d'exploiter la vulnérabilité du Google Home et de l'Alexa d'Amazon.
Les logiciels tiers font l'objet d'un examen approfondi, tant chez Google que chez Amazon, avant d'être approuvés et d'être ensuite disponibles sur les enceintes intelligentes. ZDNet écrit cependant que les deux géants de la technologie ne vérifient pas les mises à jour des logiciels tiers approuvés. C'est pourquoi les chercheurs en sécurité ont réussi à introduire du code malveillant dans leur logiciel précédemment approuvé, qui peut ensuite être placé sur le haut-parleur de n'importe quel utilisateur.
Une astuce astucieuse le permet
Dans quatre vidéos, l'équipe de SRLabs explique comment les hacks fonctionnent. Dans l'un des hacks Google, tout se passe via une action Google qui génère un nombre aléatoire. L'action exécute exactement cette commande et donne à l'utilisateur un nombre aléatoire. Mais le logiciel continue ensuite à écouter, même si la séquence de commandes initiale est déjà terminée. Dans le cas d'Alexa, l'astuce fonctionne avec une application d'horoscope qui vous lit ce qui attend votre signe astrologique aujourd'hui, en bien ou en mal. Ce logiciel est capable d'ignorer la commande d'arrêt de l'utilisateur et d'écouter et d'écrire silencieusement. D'autres vidéos montrent comment demander le mot de passe de l'utilisateur au moyen de faux messages d'erreur.
Dans les quatre cas, l'équipe de SRLabs a réussi à écouter alors qu'une commande d'arrêt avait été donnée ou que l'action aurait dû être terminée depuis longtemps. Pour ce faire, les chercheurs en sécurité ont nourri les assistants vocaux de caractères qu'ils ne pouvaient pas prononcer. En conséquence, l'assistant ne dit rien - parce qu'il ne peut pas prononcer ces caractères spéciaux - mais continue d'écouter. L'utilisateur ne s'en rend pas compte, car il n'y a pas de retour de l'assistant vocal et la commande semble ainsi terminée. Tout ce que l'utilisateur dit à partir de ce moment-là peut être enregistré et transmis directement à un pirate informatique.
Une histoire "sans fin"
Selon Ars Technica, Amazon a déjà réagi et mis en place de nouvelles mesures pour empêcher les Skills tiers d'écouter ou même de demander des mots de passe à l'avenir. Dès qu'un tel comportement se produit avec une compétence, celle-ci est supprimée. Interrogé par Ars Technica, Google a déclaré qu'il disposait de processus de révision qui détecteraient immédiatement un tel comportement et a immédiatement supprimé les actions programmées par les SRLabs. De plus, une révision interne de toutes les actions tierces est en cours, et certains modules complémentaires ont déjà été désactivés.
Ce n'est pas nouveau, ni la première fois que l'Alexa d'Amazon ou le Google Home ont des problèmes d'écoute ou de phishing. Mais le plus inquiétant dans cette histoire est le fait que de nouvelles vulnérabilités continuent d'apparaître, bien que la confidentialité des haut-parleurs intelligents ait toujours été le principal point de discorde. Si vous avez déjà des doutes sur les assistants eux-mêmes, il est préférable de ne pas faire appel à des fournisseurs de logiciels tiers non fiables.
Faites avec les haut-parleurs intelligents et les logiciels tiers ce que vous faites avec les invités dans votre maison : ne laissez entrer que ceux en qui vous avez confiance. Et si vous ne voulez plus manquer les news et les tendances en matière d'enceintes intelligentes, de maisons intelligentes et autres technologies, suivez moi en cliquant sur le bouton "Suivre" sur le profil de l'auteur.
Quand je ne suis pas en train de me bourrer de sucreries, vous me trouverez dans un gymnase: je suis joueur et entraîneur passionné d’unihockey. Quand il fait mauvais, je bidouille mon PC assemblé par mes soins, des robots et autres jouets électriques. La musique m’accompagne de partout. Les sorties VTT en montagne et les sessions de ski de fond intenses font aussi partie de mes loisirs.