Les commandes vocales pour Google Assistant et Bixby de Samsung sont conçues pour faciliter les tâches des personnes, mais elles offrent également aux pirates potentiels des moyens de tirer le meilleur parti de votre téléphone.
Mardi, des chercheurs de la société de cybersécurité Checkmarx ont révélé des vulnérabilités dans plusieurs appareils Android, notamment la gamme Pixel de Google et la série Galaxy de Samsung. Les failles de sécurité auraient permis aux assaillants de prendre des photos et des vidéos sur les appareils à l’insu des propriétaires, ou d’écouter et de suivre leur localisation, selon Erez Yalon, directeur des recherches en matière de sécurité de Checkmarx.
Checkmarx a informé Google et Samsung du problème de sécurité en juillet. Les deux sociétés ont déclaré à Checkmarx qu’elles avaient résolu le problème dans une mise à jour du Play Store le même mois. Bien que le correctif soit disponible, il n’est pas clair si chaque fabricant de périphérique concerné a publié le correctif.
« Nous apprécions que Checkmarx nous le signale et collabore avec Google et les partenaires Android pour coordonner la divulgation », a déclaré Google dans un communiqué. « Le problème a été résolu sur les appareils Google impactés via une mise à jour de Play Store vers l’application Google Camera en juillet 2019. Un correctif a également été mis à la disposition de tous les partenaires. »
Samsung a annoncé, depuis que Google avait signalé le problème, que le groupe avait publié des correctifs destinés à tous les modèles d’appareils potentiellement concernés. « Nous apprécions notre partenariat avec l’équipe Android qui nous a permis d’identifier et de résoudre ce problème directement », a déclaré Samsung dans un communiqué.
Lorsque les appareils acquièrent des fonctionnalités avancées telles que les commandes vocales, ils offrent également de nouveaux moyens pour les pirates potentiels.
Article sur SAMSUNG Samsung serait entrain de travailler sur plusieurs nouveaux modes de caméra pour les futurs téléphones
Les chercheurs de Checkmarx ont découvert que les assistants vocaux présentaient une vulnérabilité même sans que personne ne parle. Pour exploiter cette faille de sécurité, une application doit simplement envoyer un code vocal.
Bien que la plupart des applications aient besoin d’une autorisation pour prendre des photos ou des vidéos, les services d’assistant vocal tels que Google Assistant et le logiciel Bixby de Samsung sont considérés comme des logiciels de confiance. Par exemple, les applications Android utilisant l’appareil photo doivent être autorisées à exécuter la commande « android.media.action.VIDEO_CAPTURE », a expliqué Yalon, mais Google Assistant dispose déjà de l’autorisation.
Les chercheurs ont découvert que toute application pouvait tirer parti de cette échappatoire.
Pour démontrer une attaque potentielle, les chercheurs de Checkmarx ont développé une application météo à l’apparence innocente. L’application semble donner les dernières prévisions, mais en arrière-plan, elle pourrait envoyer une requête « vocale » à Google Assistant pour prendre une photo ou commencer à enregistrer une vidéo.
Mais vous ne l’entendriez jamais – l’application faisait tout dans le code, a déclaré Yalon. L’application malveillante renvoie alors tout le contenu à un serveur contrôlé par les chercheurs.
La vulnérabilité aurait également pu permettre un suivi de localisation et une écoute indiscrète, a noté Yalon. En effet, la plupart des photos enregistrent automatiquement les coordonnées GPS dans les métadonnées de l’image. Profitant du capteur de proximité de Google Pixel – qui sait quand votre téléphone est à votre oreille ou face cachée – l’application malveillante peut également commencer à enregistrer des vidéos quand elle sait qu’une personne ne regarde l’écran, capturant l’audio en arrière-plan .
Checkmarx a même constaté que l’enregistrement pouvait démarrer pendant un appel téléphonique. La seule autorisation requise par l’application météo malveillante était l’accès au stockage, qui lui permettait de couvrir ses traces.