Imaginez que quelqu’un écoute les conversations qui ont lieu dans votre maison. Vous vous sentiriez certainement vulnérable. Un chercheur du nom de Matt Kunze a découvert que des hackers pouvaient vous espionner, vous et votre famille, par une enceinte connectée Google Home.
Selon BleepingComputer et relayé par AndroidCentral, Kunze s’amusait avec un Nest Mini lorsqu’il a découvert qu’un compte pirate ou « backdoor » pouvait être créé à l’aide de l’application Google Home. Ce compte pouvait ensuite être utilisé pour contrôler l’enceinte connectée, ce qui permettait à un mauvais acteur d’accéder à distance au micro et à d’autres fonctions de l’appareil.
Kunze a reçu 107 500 dollars de Google pour avoir découvert cette vulnérabilité qui a transformé le Nest Mini de Google d’une enceinte connectée en un appareil capable d’espionner les conversations de l’utilisateur et plus encore. Le compte pirate peut être utilisé pour contrôler l’enceinte intelligente en lui envoyant des commandes à distance depuis l’API du cloud. L’API permet à deux ou plusieurs programmes informatiques de communiquer.
Les informations nécessaires pour pirater une Nest Mini comprendraient le nom de l’appareil, le certificat et l’ID du cloud. Avec ces informations, le pirate peut envoyer une requête au serveur de Google pour demander un lien vers l’enceinte connectée, ce qui permet d’utiliser l’appareil pour effectuer des transactions en ligne, contrôler des appareils connectés, déverrouiller la porte d’entrée, etc. Le pirate peut également demander à l’enceinte d’appeler son smartphone et d’écouter une conversation qui se déroule dans la maison grâce au microphone de l’enceinte.
Le chercheur a réussi à le faire en créant une routine malveillante incluant la commande « call [phone number] ». Cette commande active le microphone à un moment précis, appelant le smartphone de l’attaquant (comme je l’ai mentionné dans le paragraphe précédent), lui permettant ainsi d’écouter depuis le microphone de l’enceinte connectée. Kunze a enregistré une vidéo montrant comment le microphone du Nest Mini peut envoyer des conversations à un smartphone, qui dans ce cas serait en possession du mauvais acteur.
Le problème a été découvert par Kunze en janvier 2021 et Google l’a corrigé en avril 2021. Toute personne exécutant le dernier firmware ne devrait pas être concernée par ce problème.
