Récemment, un chercheur a découvert qu’un bug dans les haut-parleurs intelligents Google Home permettait aux hackers d’installer un compte backdoor. Celui-ci pouvait être utilisé à distance comme un dispositif d’espionnage en accédant au flux du microphone.
En début de semaine, le prober a publié des détails techniques sur ses découvertes ainsi qu’un scénario d’attaque. Il vise à montrer comment la faille pourrait être exploitée.
En expérimentant avec sa mini enceinte Google Home, l’enquêteur a découvert que les nouveaux comptes ajoutés via l’application Home pouvaient envoyer des commandes à distance via l’API cloud.
De plus, il a trouvé le port de l’appareil pour l’API HTTP locale en utilisant un scan Nmap et a configuré un proxy pour capter le trafic HTTPS crypté. Cette astuce avait pour but d’arracher le jeton d’autorisation de l’utilisateur.
Ce faisant, il a découvert que l’ajout d’un nouvel utilisateur au gadget visé est un processus en deux étapes qui nécessite le nom de l’appareil, le certificat et le « cloud ID » de son API locale. À l’aide de ces informations, les hackers peuvent envoyer une demande de lien au serveur de Google.
La preuve de concept va donc un peu plus loin que la simple localisation d’un utilisateur malveillant et l’espionnage à l’aide du microphone. Cette méthode effectue des requêtes HTTP arbitraires sur le réseau de la victime et lit ou écrit des fichiers aléatoires sur l’appareil.
Généralement, Google Chrome sur Samsung ou un autre téléphone Android marque les sites Web HTTP non sécurisés comme « non sécurisé » dans la barre d’adresse.
Maintenant, la société a dévoilé un nouveau bouton à bascule qui se trouve dans les paramètres de sécurité. En activant l’option « Toujours utiliser les connexions sécurisées », Chrome sera obligé de se connecter à la version HTTPS du site Web. Dans le contexte, les URL des sites Web HTTPS sont sécurisées par rapport aux sites HTTP.
Cette nouvelle fonctionnalité s’avère pratique dans les situations où un utilisateur navigue accidentellement sur une version non sécurisée d’un site Web particulier.
Dans les cas où aucune version sécurisée n’est disponible, un message d’avertissement s’affiche si l’utilisateur souhaite continuer à naviguer de manière non sécurisée.
Mardi, le ministère américain de la Justice (DOJ) a révélé que Boeing avait violé ses…
Mercredi, les contrats à terme sur le blé ont grimpé en flèche alors que les…
Mardi, Google a réorganisé les pages de résultats de son moteur de recherche (SERP) afin…
Les actions d'AMC Entertainment ont connu un parcours en dents de scie et ont atteint…
Lundi, OpenAI a réalisé une démonstration en direct de GPT-40, son nouveau modèle de langage…
Les prix du pétrole ont enregistré de légères hausses mardi en Asie, bénéficiant du soutien…
This website uses cookies.