Un chercheur en sécurité a découvert une grave vulnérabilité de sécurité dans l'enceinte Google Home qui pourrait permettre d'espionner les utilisateurs. Un adversaire pourrait facilement installer une porte dérobée sur l'appareil cible pour l'exploiter comme outil d'espionnage.
Vulnérabilité de l'enceinte Google Home
Le chercheur Matt Kunze a partagé les détails d'une découverte intéressante qu'il a faite l'année dernière dans son récent post. Comme révélé, il a remarqué une grave vulnérabilité dans l'enceinte Google Home qui pourrait permettre d'écouter les utilisateurs.
Plus précisément, il a observé la faille en inspectant son appareil Google Home. Le fait que l'application Google Home permettait de lier d'autres comptes d'utilisateurs, il est devenu curieux de ce processus de liaison de comptes car il donnerait un immense contrôle aux nouveaux comptes. Ainsi, il a soupçonné qu'un adversaire pourrait exploiter cette fonctionnalité pour connecter des comptes fictifs et prendre le contrôle des appareils cibles.
Suite à cette hypothèse, il a utilisé le scan Nmap pour trouver le port API HTTP local de Google Home et est passé à la capture du trafic HTTPS. Après avoir fait quelques recherches, Kunze a pu reproduire la demande de liaison de compte en implémentant le processus dans un script Python.
Une fois cela fait, le chercheur a pu créer des routines malveillantes via différentes commandes vocales. Par exemple, la commande “call [phone number]” activerait le micro pour envoyer des flux vocaux au numéro de téléphone de l'attaquant. (Kunze a fait référence à l'attaque LightCommands précédemment signalée pour trouver cette idée, tout en mentionnant de nombreuses autres études).
Le fait d'avoir un accès aussi explicite au Google Home cible a permis à l'attaquant de
- accéder aux jetons d'authentification locaux
- utilise l'API locale pour modifier les paramètres de l'appareil
- Exécuter des commandes via des “routines”.
- installer des “actions” telles que des “actions de maison intelligente” pour exécuter diverses activités
Le chercheur a également partagé divers PoC pour cette attaque, décrivant différents scénarios d'attaque. Par exemple, la vidéo suivante montre comment un attaquant pourrait lancer un appel à distance.
Google a corrigé la faille
Suite à cette découverte en août 2021, le chercheur a contacté Google pour signaler le problème. En conséquence, le géant technologique a développé un correctif pour ce problème afin de protéger la vie privée des utilisateurs. Kunze a confirmé que Google a empêché le déclenchement à distance de “Call [phone number]” via des “routines” et a mis en place une fonction d'invitation de demande nécessaire depuis l'application Home pour lier un compte.
En plus de publier un correctif, Google a récompensé le chercheur avec une prime de 107 500 dollars.
Fais-nous part de tes réflexions dans les commentaires.
