Data : quand l'assistant Home ou la Chromecast de Google permet de géolocaliser l'utilisateur à son insu ("Hey" ho, Google) !

Si optimiser un produit connecté, en lui laissant la possibilité d'élargir ses champs de recherche pour mieux cibler une demande spécifique, va obligatoirement toujours de paire, il apparaît encore naturel, pour l'heure, de savoir quand il a été permis d'activer ou non de telles options, notamment pour la géolocalisation... Sans doute une leçon morale pour Google qui a semble t-il confondu involontairement fonctionnalité future et violation de vie privée.

 

 

Comme expliqué par Craig Young (Tripwire) via KrebsOnSecurity, dans un billet du 18 Juin dédié, l'attaque peut être menée à distance (commande à distance) par un individu malveillant, "tant qu'il peut amener la victime à ouvrir un lien alors qu'il est connecté au même réseau Wi-Fi ou filaire qu'un appareil Google Chromecast ou Home [...] la seule vraie limitation est que le lien doit rester ouvert pendant environ une minute avant que l'attaquant ait un emplacement. Le contenu de l'attaque pourrait être contenu dans des publicités malveillantes ou même un tweet".

Dans un premier temps, Google, notifié par cette vulnérabilité exploitable, n'a pas répondu mais fermé le bug (tracker) ainsi ouvert en précisant que le bug ne sera pas corrigé puisque de leur côté il s'agissait d'une fonctionnalité en devenir (?)... Après, dans un second temps, avoir été contacté par l'équipe sécuritaire KOS, le géant Californien a semble t-il réalisé l'impact de cette histoire en communiquant enfin via la mise à jour prochaine (patch) de cette faille "à la mi-Juillet 2018"...

 

Dans cette - longue - attente, le billet recommande d'établir des clés d'authentifications pour chaque appareils ou "gadgets" connectés voire de consacrer un routeur pour les appareils de ce type (IoT, domotique...) : "en connectant le port WAN du nouveau routeur à un port LAN ouvert sur le routeur existant, le code d'attaquant s'exécutant sur le réseau principal n'aura pas de chemin pour abuser de ces périphériques connectés. Bien que cela n'empêche pas par défaut les attaques des périphériques IoT vers le réseau principal, il est probable que la plupart des attaques naïves ne reconnaîtront même pas qu'il existe un autre réseau à attaquer", préconise Craig Young... A veiller !

 

Source : KrebsOnSecurity - 18 Juin 2018 - Géolocalisation involontaire (faille) pour Google Home et Chromecast.