Certains téléviseurs sous Android TV souffrent d’une faille de sécurité, rapportent nos confrères de 404Media. Comme l’a démontré le vidéaste Cameron Gray dans une vidéo sur YouTube, il est possible d’accéder au compte Gmail du propriétaire de la télévision grâce à une petite astuce. Pour y parvenir, il faut néanmoins disposer d’un accès physique au téléviseur.
Selon le vidéaste, le fait de connecter votre compte Google « à un appareil Android TV » peut « donner à toute personne ayant accès au téléviseur un accès complet à votre messagerie Gmail, Google Drive et à tous les services auxquels vous avez signé en utilisant votre compte Google ». La brèche ne concerne donc pas que Gmail. C’est pourquoi Cameron Gray recommande de ne « JAMAIS vous connecter à Android TV avec un compte Google important ».
À lire aussi : Votre box Android TV cache peut être un malware
Chrome, un APK, un clavier et une souris
Dans un premier temps, la personne désireuse d’accéder à vos mails va installer un navigateur Web sur la TV par le biais du Play Store. En l’occurrence, le YouTubeur a choisi TV Bro. Ensuite, l’attaquant va dénicher le fichier APK de Google Chrome sur la toile. Grâce à ce fichier, il va installer Chrome sur le téléviseur. Pour naviguer sur Chrome, il devra se servir d’un clavier et d’une souris sans fil. Le navigateur de Google n’est en effet pas conçu pour fonctionner avec la télécommande d’une télévision. C’est la seule contrainte de l’opération.
C’est là que l’intrus arrive à ses fins. Il n’a plus qu’à se rendre sur gmail.com pour pouvoir lire tous les mails de sa cible. En effet, le système d’exploitation va automatiquement connecter le compte Google au navigateur Chrome. Comment est-ce possible ? Lorsque vous connectez votre compte Google sur un appareil Android TV, cette connexion reste active en permanence. Cette approche permet de vous connecter à toutes les applications du Play Store que vous avez autorisé sans que vous ayez besoin de vous reconnecter à chaque fois. De facto, il est logique que Chrome offre un accès à Gmail, bien qu’il s’agisse d’un risque en matière de confidentialité.
Google promet un correctif
Selon le média, le bureau du sénateur démocrate Ron Wyden a eu vent de la vidéo de Cameron Gray. Alerté par cette faille, le cabinet est entré en contact avec Google. Dans un premier temps, le géant de Mountain View a estimé qu’il ne s’agissait pas vraiment d’une vulnérabilité, avant de rétropédaler. Google s’est maintenant engagé à corriger le tir :
« La plupart des appareils Google TV exécutant les dernières versions du logiciel ne permettent déjà pas ce comportement représenté. Nous sommes en train de déployer un correctif pour le reste des appareils ».
D’après Google, la méthode employée par le vidéaste ne devrait pas fonctionner sur tous les téléviseurs tournant sous Android TV. Quoi qu’il en soit, on vous conseillera, comme toujours, de garder tous vos appareils à jour en installant systématiquement toutes les mises à jour déployées par les fabricants. En attendant le correctif, vous pouvez vous servir d’un compte Google dédié, différent de votre compte principal, pour votre téléviseur Android TV.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : 404Media