SRLabs est parvenu sans difficulté à développer et à publier des applications malveillantes pour Alexa et Google Assistant. Sous la forme d’un banal service d’horoscope, elles vous espionnent et vous trompent pour collecter vos mots de passe et vos données personnelles.
Ces derniers temps, ce sont plutôt Amazon, Apple et Google qui ont été accusés d’espionner leurs usagers. Les assistants vocaux des trois firmes enregistraient des conversations au hasard jusqu’à ce que le scandale éclate au printemps. Les enregistrements n’étaient utilisés que pour être retranscrits manuellement, et ainsi vérifier le fonctionnement de leurs assistants, mais sans prévenir clairement leurs utilisateurs.
Ces comportements laissent place maintenant à une nouvelle menace : les applications malveillantes qui tirent parti du mode de fonctionnement des assistants pour vous espionner, et enregistrer des informations personnelles. Pour prouver à quel point il est simple de tromper Amazon, Google et leurs utilisateurs, SRLabs a publié 4 applications malveillantes sur chacune des plateformes, elles ont toutes passé le processus de validation pour devenir accessibles à tous.
Espionner sur Alexa et Google Assistant, rien de plus simple
Selon Fabian Bräulein, consultant principal en sécurité chez SRLabs, la démarche consistait à montrer que « non seulement les fabricants, mais aussi les pirates peuvent abuser de ces assistants vocaux pour s’immiscer dans la vie privée des gens ». Mais l’expérience va beaucoup plus loin que ça en mettant en évidence de graves failles de sécurité aussi bien dans le processus de validation des applications que dans le fonctionnement même des assistants vocaux.
Les applications malveillantes du laboratoire se présentent comme de banals services d’horoscope qui utilisent plusieurs méthodes pour obtenir des données personnelles, ou votre mot de passe. Après vous avoir donnée votre horoscope, elle reste silencieuse pour donner l’illusion de ne plus fonctionner, alors qu’elle enregistre votre voix pour la transmettre sur un serveur. Dans un deuxième cas, l’application vous répond par un message d’erreur qui indique que le service n’est pas disponible dans votre pays, puis reste silencieuse quelques minutes. Elle reproduit ensuite la voix habituelle des assistants pour vous inviter à effectuer une mise à jour qui nécessite votre mot de passe pour être installée.
Google et Amazon ont bien sûr retiré les applications et indiquent que le processus de validation est en cours de modification pour éviter que de tels programmes soient à nouveau disponibles. Les entreprises n’ont néanmoins pas donné plus de détails sur les changements à venir.
L’expérience de SRLabs a une fois encore montré le danger que représente cette technologie en termes de sécurité, et que sa mise à disposition doit être étroitement surveillée. Un argument que reprendra probablement Apple pour prendre le temps d’ouvrir entièrement Siri aux développeurs tiers. Pour rappel, Spotify aura du attendre iOS 13 pour être commandé via Siri.
Source : SRLabs