Google Home, Amazon Echo : une faille permet de vous espionner et de voler vos mots de passe

Les enceintes Google Home et Amazon Echo sont victimes d'une nouvelle faille de sécurité, rapportent les chercheurs de Security Research Labs. En exploitant cette importante brèche, les experts sont parvenus à espionner les conversations des utilisateurs à leur insu. Pire, la faille permet aussi de collecter vos mots de passe.  

Les chercheurs de l'entreprise allemande Security Research Labs (SRLabs) sont parvenus à mettre au point plusieurs programmes capables de vous espionner à l'aide d'une enceinte Google Home ou Amazon Echo. Pour parvenir à leurs fins, les chercheurs ont développé des skills pour Amazon Alexa et des Actions pour Google Home. Les chercheurs décrivent ces skills et actions comme des “applications vocales intelligentes pour haut-parleur”.

Lire également : Alexa – comment empêcher les salariés d’Amazon d’écouter vos conversations avec Echo ? 

Google Home, Amazon Echo : comment des pirates peuvent voler vos mots de passe ?

Ces applications vocales sont en apparence inoffensives. Elles promettent notamment de lire un horoscope quotidien à voix haute. Les utilisateurs d'une enceinte ne se doutent pas que cette application est en mesure de collecter leurs données personnelles à leur insu. Une fois la skill/ action activée, l'enceinte va afficher un message d'erreur factice. Sous prétexte d'installer une mise à jour du système, l'application va vous demander de prononcer votre mot de passe. Les utilisateurs les plus crédules risquent de tomber dans la piège. SRLabs décrit cette attaque comme du “vishing“, une forme de phishing par la voix.

D'après SRLabs, la faille permet aussi d'espionner les conversations privées des utilisateurs. Les programmes développés par les chercheurs gardent en effet l'enceinte en mode écoute permanente sans que vous ne vous en rendiez compte. Dans les deux cas, l'application malveillante émet un faux signal de fin, censé endormir la vigilance des usagers, lors de la fin d'un échange. Contacté par SRLabs, Google et Amazon ont rapidement déployé un correctif.

“Les utilisateurs doivent être conscients du danger des applications vocales malveillantes qui abusent de leurs haut-parleurs intelligents. L'utilisation d'une nouvelle application vocale doit être abordée avec la même prudence que l'installation d'une nouvelle application sur votre smartphone” met en garde le rapport de la firme allemande. Que pensez-vous de cette étude ? Allez-vous y réfléchir à deux fois avant d'installer une skills inconnue sur votre Amazon Echo ?

Source : Security Research Labs