TL;DR
- Android TV stocke la connexion au compte Google sans aucune mesure de sécurité, qui peut généralement être utilisée de manière abusive avec les applications de navigateur pour se connecter aux services Google.
- Google mentionne qu'il a corrigé la faille sur les appareils plus récents exécutant la dernière version de Google TV et qu'il la corrige pour d'autres appareils plus anciens.
Si vous possédez un téléviseur intelligent ou une clé TV intelligente à la maison, il y a de fortes chances qu'il fonctionne sous Android TV ou Google TV (qui est toujours Android TV sous le capot avec une couche de recommandation de contenu sur le dessus). Si tel est le cas, vous ne devriez pas laisser les gens sans surveillance autour du téléviseur, car une faille plutôt flagrante dans Android TV permet à quiconque de consulter toutes les données de votre compte Google et même de compromettre votre compte si vous êtes connecté à Android TV.
Advertisement
YouTubeur Cameron Gray repéré cette faille plus tôt dans l'année, et 404 Médias l'ont ramené sous les feux de la rampe avec leur rapport. Selon ces résultats, le manque de protection de sécurité d'Android TV en fait l'appareil idéal pour espionner toutes les adresses e-mail connectées. Vous avez besoin d'un accès physique au téléviseur, et une souris et un clavier faciliteraient le processus, mais il est toujours tout à fait possible qu'un mauvais acteur profite indûment de cette faille pour compromettre les comptes Google présents sur le téléviseur.
Essentiellement, lorsque vous vous connectez à un téléviseur Android avec votre compte Google, il stocke la connexion pour vous permettre de vous connecter à d'autres applications sur le téléviseur. Il s'agit d'un comportement Android standard que nous observons sur les téléphones, mais les téléphones disposent de mesures de sécurité telles que le code PIN et le déverrouillage biométrique, alors que les téléviseurs n'en ont pas. Cet accès de connexion sur Android TV reste généralement limité aux applications que vous pouvez installer à partir du Google Play Store sur Android TV, et le TV Play Store n'affiche pas plusieurs applications comme Gmail, Google Chrome, d'autres navigateurs, etc.
Cependant, si vous pouvez télécharger Chrome sur Android TV (ce qui est assez simple si vous savez ce que vous faites), vous pouvez accéder aux versions Web de Gmail ou à tout autre service Google via Chrome et vous connecter automatiquement. Aucun mot de passe n'est nécessaire pour vous connecter. et aucun code PIN ou biométrie n'est requis pour confirmer votre identité en tant que propriétaire du téléviseur. Une fois connecté, vous pouvez lire les e-mails et même procéder à la réinitialisation et à la reprise du compte connecté.
Google a initialement mentionné qu'il s'agissait d'un comportement attendu, ce qui est exact. Cependant, cela n’enlève rien au fait qu’il s’agit d’un oubli de sécurité. Plus récemment, cependant, Google a changé de position, mentionnant qu'il avait « résolu » le problème sur les appareils Google TV les plus récents et qu'il était en train de le résoudre sur le reste.
Advertisement
Voici la déclaration que Google a fournie à 404 Médias:
Nous travaillons constamment à améliorer nos protections afin de garantir la sécurité des utilisateurs de Google TV et du système d'exploitation Android TV. Nous sommes conscients de ce scénario potentiel dans lequel des acteurs malveillants ayant obtenu un accès physique à un téléviseur peuvent remplacer manuellement les paramètres par défaut pour télécharger des applications Google normalement restreintes sur un téléviseur et accéder aux services Google sur le compte connecté. La plupart des appareils Google TV exécutant les dernières versions du logiciel n'autorisent déjà pas ce comportement décrit. Nous sommes en train de déployer un correctif sur le reste des appareils. En tant que meilleure pratique de sécurité, nous conseillons toujours aux utilisateurs de mettre à jour leurs appareils avec la dernière version du logiciel.
Nous avons contacté Google pour en savoir plus sur le correctif de cette faille de sécurité.
Compte tenu de la gravité des risques liés à cette faille, nous vous recommandons de ne vous connecter à aucun compte Google important sur les appareils Android TV. J'ai toujours utilisé un compte TV factice pour mes téléviseurs intelligents, car cela permet de garder mes flux de recommandations et mon historique de visionnage propres et séparés de ceux de ma famille. Il y a désormais encore plus de raisons d’utiliser des comptes factices. Et si vous vous connectez à votre compte Google sur des appareils de télévision partagés en dehors de votre domicile, comme dans les hôtels et Airbnb, c'était déjà une mauvaise idée au départ, vous devriez donc arrêter de le faire immédiatement de toute façon.