Il était possible de voir des images issues de caméras IP Xiaomi depuis son Google Next. Ce bug dans le service gérant les droits d’accès aux flux a contraint Google à couper l’accès à tous les appareils du constructeur chinois.
Mise à jour : La réaction officielle de Xiaomi ne s’est pas faite attendre. Nous la publions ici (traduite) en tant que droit de réponse :
“Xiaomi a toujours placé la confidentialité et la sécurité des informations de nos utilisateurs en tête des priorités. Nous savons qu’il y a eu un problème de réception d’images fixes au moment de connecter une Mi Home Security Camera Basic 1080p sur un hub Google Home. Nous nous excusons pour la gêne occasionnée à nos utilisateurs.
Depuis, notre équipe a agi immédiatement pour résoudre le problème, maintenant corrigé. Après enquête, nous avons découvert que le problème était dû à une mise à jour du cache, le 26 décembre 2019, conçue pour améliorer la qualité du streaming des caméras. Le problème ne s’est produit que dans des cas extrêmement rares. Dans le cas présent, cela s’est produit lors de l’intégration entre la Mi Home Security Camera Basic 1080p et le Google Home Hub avec un affichage dans de mauvaises conditions de réseau.
Nous avons également constaté que 1044 utilisateurs étaient dans un tel cas d’intégration, et seuls quelques-uns avec des conditions de réseau extrêmement dégradées ont pu être affectés. Ce problème ne se produira pas si la caméra est liée à l’application Mi Home de Xiaomi.
Xiaomi a communiqué et résolu ce problème avec Google, et a également suspendu ce service jusqu’à ce que la cause originelle soit complètement résolue, afin de garantir que de tels problèmes ne se reproduisent plus.”
Un bug important touchant les utilisateurs de caméras Xiaomi rappelle la faiblesse du cloud en ce qui concerne la protection de la vie privée.
Un bug affichait des images des caméra Xiaomi d’inconnu sur Google Nest
Tout a commencé par un message posté sur Reddit. L’utilisateur Dio-V tentait de configurer sa caméra IP Xiaomi Mijia 1080p pour pouvoir l’utiliser sur ses appareils Google Nest, dont nous avons testé le modèle Hub Max, via l’application Xiami Mi Home. Mais à la place de son propre flux vidéo, il pouvait voir des images fixes provenant de sources totalement inconnues. Une énorme faille dans la protection de la vie privée qui a contraint Google à réagir vite et de manière drastique en coupant simplement l’accès à Xiaomi sur ses services pour une utilisation dans Google Home et Google Assistant.
Ainsi Dio-V a pu avoir accès à des images de bébés endormis, de salons, d’un homme faisant la sieste sous son porche, etc. Toutes ces images sont issues de caméras Xiaomi Mijia comme le montrent les captures d’écrans qu’il a publiées. Le bug se situe donc du côté du constructeur chinois, mais Google a été le plus rapide a réagir : « Nous sommes au courant du problème et nous sommes en contact avec Xiaomi pour travailler à sa résolution. En attendant, nous avons désactivé l’intégration des services Xiaomi dans nos appareils ».
Cet épisode rappelle à quel point il peut être de dangereux de faire transiter ses flux vidéos via le cloud. Ici, c’est un bug qui est à l’origine du problème, mais il n’est pas rare d’entendre parler de piratage comme celle de ce hackeur s’amusant à terrifier un enfant dans sa chambre. Nous vous avons préparé un guide afin de choisir au mieux quelle caméra IP acheter.
Source : Android Police