Petr Skuta Il n'y a pas si longtemps, il y a eu un scandale sur Internet concernant les écoutes clandestines des utilisateurs. Les enceintes intelligentes d'Amazon et de Google ont joué un rôle de premier plan. Il s’avère désormais que de nombreuses applications tierces peuvent faire encore plus.
Les haut-parleurs intelligents d'Amazon et de Google sont différents d'Apple HomePod une fois fonction essentielle. Ils permettent à des applications tierces d'utiliser le matériel de l'appareil. Les ingénieurs logiciels des deux sociétés mènent ainsi une bataille sans fin contre les hackers, qui ont toujours une longueur d'avance.
Des experts en sécurité partagés avec le serveur ZDNet sur leurs découvertes. Toute l'attaque contre l'utilisateur consiste à utiliser une simple faille dans le fonctionnement du système d'exploitation de l'enceinte avec microphone intégré.
En effet, les applications tierces n'ont la possibilité d'accéder au microphone de l'orateur que pendant une durée limitée. Cependant, il existe une option pour prolonger ce délai au cas où il n'était pas possible de comprendre la commande de l'utilisateur. Et c’est exactement la voie empruntée par les pirates.
Une erreur de connexion s'est produite. Veuillez saisir le mot de passe de votre compte Google
Le comportement standard de l'application correspond grossièrement à la situation suivante :
Je demande à Alexa d'ajouter des articles au panier de mon application depuis une chaîne de magasins. L'application vérifie l'historique des commandes pour comparer les paramètres de la marchandise puis me demande une confirmation. En même temps, il active le microphone et attend une réponse par oui ou par non. Si je ne réponds pas, le microphone s'éteint au bout de quelques secondes.
Cependant, il existe un moyen de contourner la sourdine du microphone. Ceci peut être réalisé avec une chaîne de texte spéciale "�. "écrit dans le code de l'application. Cela peut facilement augmenter le temps d’activation du microphone de quelques secondes à beaucoup plus longtemps. L'application peut ainsi écouter l'utilisateur à tout moment.
La deuxième option est encore plus insidieuse. La chaîne peut être utilisée et définie même pour le traitement d'une instruction audio. Par la suite, l'application peut être obligée de demander un mot de passe pour, par exemple, un compte Amazon ou Google. Les vidéos ci-dessous montrent clairement toute la procédure.
Il pourrait être vous intéresse
David Hanak Pendant ce temps, Apple n'autorise pas les applications tierces à accéder directement au microphone du HomePod, et ne le fera probablement jamais dans la même mesure qu'Amazon et Google. Tous les développeurs doivent utiliser une API spéciale qui gère la voix. Ses utilisateurs sont en sécurité pour le moment.
