Pour gérer vos consentements :

Faille de sécurité critique : un correctif en juillet pour les Google Home et Chromecast

Google a promis un correctif concernant une vulnérabilité d’authentification qui permet à des pirates d’obtenir les positions exactes où se trouvent des appareils Google Home ou Chromecast. Le correctif devrait arriver à la mi-juillet.

Une précision redoutable

Le problème en question a été décelé par Craig Young de Tripwire Green plus tôt dans le mois et signalé à Google bien avant toute publication.

Selon le chercheur en sécurité, il s’agit d’une faille d’authentification qui révèle des informations de localisation extrêmement précises sur les utilisateurs du haut-parleur intelligent Google Home et le dongle HDMI Chromecast. « J’ai été en mesure d’utiliser les données extraites des appareils pour déterminer leur emplacement physique avec une précision étonnante« , a déclaré Craig Young dans une contribution de blog.

L’attaque fonctionne en demandant à l’appareil de Google une liste de réseaux sans fil à proximité, puis en envoyant cette liste aux services de recherche de géolocalisation de Google.

Une facilité déconcertante

Ainsi, en utilisant l’emplacement glané par les réseaux Wi-Fi à proximité via un Google Home ou un dongle Chromecast, un site Web malveillant peut trianguler l’emplacement d’un utilisateur. Or, ces périphériques nécessitent rarement une authentification de la part de tiers pour recevoir des données sur les réseaux locaux. De ce fait, des individus malveillants pourraient exploiter ces autorisations généreuses pour collecter ces données sensibles de géolocalisation.

Il est vrai que si des pirates peuvent facilement déjà obtenir des données de localisation par des moyens moins compliqués, tels que les adresses IP, ces informations ne sont pas très précises.

Ce qui rend cette faille de sécurité beaucoup plus inquiétante provient du fait que les données de géolocalisation de Google sont très précises. En effet, si les données de localisation IP de base ne permettent une géolocalisation qu’à quelques kilomètres, cette faille permet d’obtenir une précision à 10 mètres.

Ces données de géolocalisation pourraient notamment être ensuite utilisées pour du phishing.

L’attaque peut être menée depuis Linux, Windows ou macOS, tant que la cible utilise Firefox ou Chrome.

Très en vogue, les enceintes intelligentes pourraient donc devenir un nouvel eldorado pour les pirates. Avec des fonctions d’écoute en continu et, on le voit, de géolocalisation précise pour le Google Home, elles sont en effet très alléchantes.

(Crédit photo : @Google)

Recent Posts

Noyau Linux : Rust fusionné demain (ou presque)

Le support Rust for Linux pourrait être prêt pour la version 5.20 du noyau Linux,…

2 jours ago

Cloud et sécurité : les référentiels-clés selon le Clusif

Le Clusif a listé 23 référentiels pour traiter le sujet de la sécurité dans le…

2 jours ago

Tech : une équité salariale contrariée

Malgré des avancées, la diversification des embauches et l'équité salariale progressent lentement dans les technologies…

2 jours ago

Assurance cyber : le marché français en 9 chiffres

Primes, capacités, franchises, indemnisations... Coup de projecteur sur quelques aspects du marché français de l'assurance…

2 jours ago

CodeWhisperer : AWS a aussi son « IA qui code »

Dans la lignée du passage de GitHub Copilot en phase commerciale, CodeWhisperer, son concurrent made…

2 jours ago

Zscaler met plus d’intelligence dans la sécurité Zero Trust

Zscaler renforce les capacités d'intelligence artificielle de sa plateforme de sécurité Zero Trust Exchange, de…

3 jours ago