Depuis le début, les enceintes connectées n’inspirent pas beaucoup confiance. Dotées d’un microphone actif en permanence, elles représentent un risque pour la sécurité et l’intimité du foyer. Des chercheurs en sécurité de Security Research Labs (SRLabs) viennent de montrer comment des pirates pourraient concrètement abuser de ces appareils pour enregistrer des conversations à l’insu de l’utilisateur ou lui voler des informations sensibles telles que des mots de passe. Pour y arriver, ils se sont appuyés sur une série d’applications tierces développées pour ces plateformes. Sur Alexa et Home, ces applications sont appelées respectivement « skills » et « actions ».
Des silences générés par des caractères spéciaux
Pour voler un mot de passe, la technique d’attaque est assez similaire dans les deux cas. L’application contient une fonction bidon déclenchée par le mot-clé « start ». Dès que Google ou Amazon ont validé les applications, SRLabs a pu les modifier sans que les fournisseurs ne s’en rendent compte. Ainsi, le message d’accueil qui est joué après le lancement de l’application est transformé en faux message d’erreur (« Ce skill/Cette action n’est actuellement pas disponible dans votre pays »), suivi d’un long silence que les chercheurs ont programmé avec la séquence de caractères « �. » (U+D801, point, espace).
Ce silence doit faire penser à l’utilisateur que l’application n’est plus active. Au bout d’un certain temps, un second message est émis : « Une mise à jour de sécurité importante est disponible. Dites “start update” suivi de votre mot de passe ». Si l’utilisateur tombe dans le piège, tout ce qui est dit après le mot-clé « start » sera interprété comme des variables d’une fonction et donc envoyé au serveur du développeur. Les chercheurs ont réalisé des vidéos pour démontrer l’attaque.
Pour enregistrer les conversations à l’insu de l’utilisateur, les techniques diffèrent quelque peu. Dans le cas d’Amazon Alexa, les chercheurs ont créé deux fonctions. La première, déclenchée par le mot-clé « stop », arrête l’application. La seconde est une fonction bidon déclenchée par un mot commun tel que « je ». Après validation par Amazon, les chercheurs modifient l’application. Quand l’utilisateur dit « stop », l’application émet un message d’au revoir, suivi d’un long silence qui lui permet de rester active. Ensuite, si l’utilisateur dit le mot commun choisi par l’attaquant, les mots qui suivront seront transmis à ses serveurs.
Dans le cas de Google Home, l’espionnage est encore plus simple à réaliser. Après validation de l’application, le message d’accueil est modifié pour émettre à la fin le son typique qu’émet Google Home quand une action se termine. Mais en réalité, celle-ci reste active et attend de nouvelles instructions vocales, qui sont envoyées vers une fonction bidon qui génère un silence. Et ainsi de suite. Tant que l’utilisateur continue de parler, ses paroles sont transmises au serveur!
Selon Ars Technica, SRLabs a réussi à publier huit applications malveillantes, quatre en anglais et quatre en allemand. Aucun des deux fournisseurs n’a réussi à détecter les modifications réalisées après leur diffusion. Par la suite, les chercheurs ont alerté les deux géants informatiques. Interrogées par ZDnet, elles affirment avoir corrigé les failles mises en exergue par les SRLabs.
Source: SRLabs
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
