Amazon Echo et Google Home : une faille permet de connaître le mot de passe et d'autres infos

Amazon Echo et Google Home : une faille permet de connaître le mot de passe et d’autres infos

Les enceintes connectées de Google et Amazon sont-elles sécurisées ? Des chercheurs en sécurité de Security Research Labs (SRLabs) ont trouvé une méthode qui permet d’écouter les utilisateurs parler sans qu’ils soient au courant.

Les chercheurs ont développé des applications qui, sur le papier, semblent anodines. Celles-ci intègrent pourtant un code spécial qui permet de garder le micro activé après une requête faite par un utilisateur. Le micro se désactive normalement après quelques secondes quand l’utilisateur n’interagit pas avec l’enceinte. Ici, une parade a été trouvée.

Dans une vidéo de démonstration, une requête est faite pour lancer une application de l’horoscope. Un silence de plusieurs secondes a lieu et l’enceinte se met à demander à l’utilisateur son mot de passe à haute voix pour valider l’installation d’une mise à jour. L’utilisateur peut penser qu’il s’agit d’une requête légitime d’Amazon ou de Google selon son enceinte. Et pourtant, il s’agit bien de l’application malveillante qui a réussi à laisser le micro activé depuis le début et qui est toujours active.

Démo avec l’Amazon Echo

Démo avec le Google Home

Des personnes malveillantes peuvent mettre la main sur le mot de passe dans cet exemple, tout comme elles peuvent récupérer tout ce qui se dit à voix haute. Cela peut être des broutilles, comme cela peut être des informations personnelles.

Amazon et Google ont été avertis de la faille. Les deux groupes, qui ont respectivement approuvé les applications avec le code malicieux, ont promis de mieux détecter ce genre de tentative à l’avenir et ont bloqué l’usage du code malicieux. Google va même plus loin en examinant de plus près les actions possibles par les applications tierces pour voir si d’autres développeurs font de l’abus.

Signaler une erreur dans le texte

Intéressant ? Partagez la news !

Restez connectés avec nous :-)

19 765 Followers

0 J'aime

Signaler une erreur dans le texte

2 commentaires pour cet article :

Jude
Le 22 octobre 2019 à 09:58

Heureusement que je suis tombé sur cet article à temps, car je m’apprêtais à acheter une enceinte connectée de Google. Du coup, je ne sais plus quoi faire. Je tiens à mes données personnelles.

Répondre
- Bwaaazaaah
  Le 22 octobre 2019 à 12:21
  
  Généralement c’est pas du côté de Google qu’on va voir si on tient à ses données personnelles !!! Mais pourquoi pas :/
  Souvent en promo tu peux essayer pour commencer les enceintes Echo de Amazon, c’est sympa, c’est gadget, tu vas lui demander pleins de trucs au début après ça dépend quelle sera ton utilisation par la suite, si c’est juste pour avoir la météo et faire 2 ou 3 requêtes ton smartphone avec Siri/Google ou Alexa suffit largement.
  Si tu as l’idée de mettre des prises connectées, des ampoules ou autres, ça devient intéressant…
  
  Répondre

Laisser un commentaire

Fil des commentaires

Quelques règles à respecter :
1. Restez dans le sujet de l'article
2. Respectez les autres lecteurs: pas de messages agressifs, vulgaires, haineux,…
3. Relisez-vous avant de soumettre un commentaire : pas de langage SMS, et vérifiez l'orthographe avant de valider (les navigateurs soulignent les fautes).
4. En cas d'erreur, faute d'orthographe, et/ou omission dans l'article , merci de nous contacter via la page Contact.

Nous nous réservons le droit de supprimer les commentaires qui ne respectent pas ces règles

Amazon Echo et Google Home : une faille permet de connaître le mot de passe et d’autres infos

Lisez aussi ces autres articles !

2 commentaires pour cet article :

Laisser un commentaire