Nouveau Sujet - Informaticien.be

Créer un nouveau sujet

forum_emoticons.html

Courriel [email=nobody@nobody.org]Nom[/email]

Lien [url=http://www.website.com]Texte[/url]

Image [img]http://www.website.com/image.jpg[/img]

Aligné à gauche [align=left]Texte[/align]

Aligné à droite [align=right]Texte[/align]

Toute la largeur [align=justify]Texte[/text]

Mise en forme [highlight=pascal]Texte[/highlight]

Liste [list=square][item]BlaBla[/item][/list]

Liste Numérotée [list=decimal][item]BlaBla[/item][/list]

Spoiler [spoiler]James est le meurtrier![/spoiler]

Tout en majuscules [uppercase]Texte[/uppercase]

Tout en minuscules [lowercase]Texte[/lowercase]

[quote]Google se serait certainement épargné ce scandale : les hackers ont trouvé un moyen d'espionner les conversations qui se tenaient à proximité des enceintes de Google Home. L'espionnage a été rendu possible par un bogue logiciel. Cette vulnérabilité a maintenant été corrigée par Google, mais elle montre une fois de plus à quel point les haut-parleurs intelligents peuvent être délicats. Le magazine en ligne Bleeping Computer rapporte maintenant comment la vulnérabilité a été découverte et ce qui se cache exactement derrière . Selon cela, un chercheur a signalé la vulnérabilité à Google l'année dernière et a reçu 107 500 $ pour cela - une récompense relativement élevée qui montre également la gravité du problème.  Les pirates ont pu installer un compte de porte dérobée pour les haut-parleurs intelligents de Google Home, avec lequel l'appareil pouvait ensuite être contrôlé à distance et transformé en un parfait appareil d'espionnage en accédant au microphone.

Le chercheur en sécurité a découvert cette possibilité en expérimentant son Google Home Mini. Il a trouvé le port de l'API HTTP locale de Google Home et a configuré un proxy pour intercepter le trafic HTTPS chiffré, dans l'espoir de voler le jeton d'autorisation de l'utilisateur. Le chercheur a découvert que l'ajout d'un nouvel utilisateur à l'appareil cible est un processus en deux étapes qui nécessite le nom de l'appareil, le certificat et "l'ID cloud" de l'API locale. Avec les informations qu'il avait recueillies, il a finalement pu lancer une attaque et même démarrer le microphone pour enregistrer des conversations. Google a corrigé les vulnérabilités exploitées par le chercheur en avril 2021. On ne sait pas si la vulnérabilité a été activement exploité.

%news:source%: [url=news_item-34605.html]news_item-34605.html[/url] [/quote]