Google a promis un correctif concernant une vulnérabilité d’authentification qui permet à des pirates d’obtenir les positions exactes où se trouvent des appareils Google Home ou Chromecast. Le correctif devrait arriver à la mi-juillet.
Le problème en question a été décelé par Craig Young de Tripwire Green plus tôt dans le mois et signalé à Google bien avant toute publication.
Selon le chercheur en sécurité, il s’agit d’une faille d’authentification qui révèle des informations de localisation extrêmement précises sur les utilisateurs du haut-parleur intelligent Google Home et le dongle HDMI Chromecast. « J’ai été en mesure d’utiliser les données extraites des appareils pour déterminer leur emplacement physique avec une précision étonnante« , a déclaré Craig Young dans une contribution de blog.
L’attaque fonctionne en demandant à l’appareil de Google une liste de réseaux sans fil à proximité, puis en envoyant cette liste aux services de recherche de géolocalisation de Google.
Ainsi, en utilisant l’emplacement glané par les réseaux Wi-Fi à proximité via un Google Home ou un dongle Chromecast, un site Web malveillant peut trianguler l’emplacement d’un utilisateur. Or, ces périphériques nécessitent rarement une authentification de la part de tiers pour recevoir des données sur les réseaux locaux. De ce fait, des individus malveillants pourraient exploiter ces autorisations généreuses pour collecter ces données sensibles de géolocalisation.
Il est vrai que si des pirates peuvent facilement déjà obtenir des données de localisation par des moyens moins compliqués, tels que les adresses IP, ces informations ne sont pas très précises.
Ce qui rend cette faille de sécurité beaucoup plus inquiétante provient du fait que les données de géolocalisation de Google sont très précises. En effet, si les données de localisation IP de base ne permettent une géolocalisation qu’à quelques kilomètres, cette faille permet d’obtenir une précision à 10 mètres.
Ces données de géolocalisation pourraient notamment être ensuite utilisées pour du phishing.
L’attaque peut être menée depuis Linux, Windows ou macOS, tant que la cible utilise Firefox ou Chrome.
Très en vogue, les enceintes intelligentes pourraient donc devenir un nouvel eldorado pour les pirates. Avec des fonctions d’écoute en continu et, on le voit, de géolocalisation précise pour le Google Home, elles sont en effet très alléchantes.
(Crédit photo : @Google)
Un an et demi après sa publication initiale, le RGESN est mis à jour. Tour…
Le régulateur britannique de la concurrence renonce à une enquête approfondie sur le partenariat de…
À partir de juillet 2024, Microsoft imposera progressivement le MFA pour certains utilisateurs d'Azure. Aperçu…
La pépite française de l'informatique quantique Pasqal va installer un ordinateur quantique de 200 qubits…
Le fonds de pension australien UniSuper a vu son abonnement Google Cloud supprimé - et…
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.