Google a promis un correctif concernant une vulnérabilité d’authentification qui permet à des pirates d’obtenir les positions exactes où se trouvent des appareils Google Home ou Chromecast. Le correctif devrait arriver à la mi-juillet.
Le problème en question a été décelé par Craig Young de Tripwire Green plus tôt dans le mois et signalé à Google bien avant toute publication.
Selon le chercheur en sécurité, il s’agit d’une faille d’authentification qui révèle des informations de localisation extrêmement précises sur les utilisateurs du haut-parleur intelligent Google Home et le dongle HDMI Chromecast. « J’ai été en mesure d’utiliser les données extraites des appareils pour déterminer leur emplacement physique avec une précision étonnante« , a déclaré Craig Young dans une contribution de blog.
L’attaque fonctionne en demandant à l’appareil de Google une liste de réseaux sans fil à proximité, puis en envoyant cette liste aux services de recherche de géolocalisation de Google.
Ainsi, en utilisant l’emplacement glané par les réseaux Wi-Fi à proximité via un Google Home ou un dongle Chromecast, un site Web malveillant peut trianguler l’emplacement d’un utilisateur. Or, ces périphériques nécessitent rarement une authentification de la part de tiers pour recevoir des données sur les réseaux locaux. De ce fait, des individus malveillants pourraient exploiter ces autorisations généreuses pour collecter ces données sensibles de géolocalisation.
Il est vrai que si des pirates peuvent facilement déjà obtenir des données de localisation par des moyens moins compliqués, tels que les adresses IP, ces informations ne sont pas très précises.
Ce qui rend cette faille de sécurité beaucoup plus inquiétante provient du fait que les données de géolocalisation de Google sont très précises. En effet, si les données de localisation IP de base ne permettent une géolocalisation qu’à quelques kilomètres, cette faille permet d’obtenir une précision à 10 mètres.
Ces données de géolocalisation pourraient notamment être ensuite utilisées pour du phishing.
L’attaque peut être menée depuis Linux, Windows ou macOS, tant que la cible utilise Firefox ou Chrome.
Très en vogue, les enceintes intelligentes pourraient donc devenir un nouvel eldorado pour les pirates. Avec des fonctions d’écoute en continu et, on le voit, de géolocalisation précise pour le Google Home, elles sont en effet très alléchantes.
(Crédit photo : @Google)
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…