De nouvelles failles dans les enceintes Alexa et Google Home

Les attaques contre les objets connectés ont explosé cette saison, et les hackers sont capables d’écouter les enceintes Alexa et Google Home à l’insu des utilisateurs. C’est ce que révèlent deux chercheurs en sécurité de Security Research Labs (SRLabs) qui précisent sur Zdnet.com que ces attaques ne sont pas nouvelles puisque les failles existent depuis avril 2018. Ce qui les inquiète, c’est que Amazon comme Google avaient annoncé avoir comblé ces brèches…

C’est en utilisant les outils fournis par Amazon et Google pour concevoir des applications pour les univers Alexa et Google Home que des pirates sont parvenus à piéger les utilisateurs. Concrètement, il s’agit d’ajouter des plages de silence alors que l’assistant reste actif. Ce qui permet ainsi d’enregistrer tout ce qui se dit dans la pièce, à l’insu de l’utilisateur.

Ces chercheurs expliquent qu’il s’agit de méthodes semblables au phishing puisque c’est l’utilisateur, malgré lui, qui laisse l’application active alors qu’il pense qu’elle a planté. Pire encore, ces applications vérolées ont la possibilité de réclamer son mot de passe en l’invitant à mettre à jour son appareil. Ce qui est évidemment un leurre… et Google rappelle d’ailleurs que jamais l’appareil ne demandera son mot de passe à l’utilisateur.

Faille dans le processus de validation des applications

Selon ces chercheurs, les pirates exploitent une faille dans le processus de validation des applications. En effet, les mises à jour des applications sont proposées en direct aux utilisateurs sans passer par la plate-forme Amazon ou Google. (Eureka Presse)