Google et Amazon ont patché 20 millions d’enceintes intelligentes qui étaient vulnérables à une attaque Bluetooth baptisée BlueBorne.
BlueBorne, une forme d’attaque exploitant les vulnérabilités critiques de Bluetooth affectant de nombreux appareils mobiles ces derniers mois, a également affecté un grand nombre d’assistants numériques activés par la voix tels que l’Amazon Echo et Google Home, selon les conclusions de la plateforme de sécurité Armis. Le vecteur d’attaque de BlueBorne a été découvert en septembre dernier par les chercheurs d’Armis Labs, menaçant d’infecter les appareils fonctionnant sous Android avec un malware ou un ransomware via une vulnérabilité Bluetooth qui pourrait être utilisée pour transmettre et installer des logiciels potentiellement dangereux même sans coupler un combiné. avec un appareil infecté. Heureusement, Armis Labs a rapidement lancé un vérificateur de vulnérabilité pour Android conçu pour tester si un appareil donné était sensible à BlueBorne. Quelques mois plus tard, la même firme de recherche en sécurité a déterré le même vecteur d’attaque dans une autre catégorie d’appareils connectés.
Selon Armis, les haut-parleurs intelligents comme Amazon Echo et Google Home ont été affectés par BlueBorne en raison du code susceptible d’être pris sur les plateformes Android et Linux, ajoutant qu’il était difficile de détecter la vulnérabilité. Les enceintes intelligentes Amazon Echo en particulier présentaient deux vulnérabilités, l’une étant celle du noyau Linux, qui pouvait permettre aux attaquants d’exécuter du code à distance et l’autre du serveur SDP, qui pouvait potentiellement divulguer des informations confidentielles. Pendant ce temps, les appareils Google Home risquaient d’exposer des informations privées à des attaquants via une vulnérabilité détectée dans la pile Bluetooth d’Android. Armis a noté que les vulnérabilités étaient encore aggravées par le fait que les enceintes intelligentes ne pouvaient pas être installées avec un antivirus et qu’il était impossible de désactiver le Bluetooth en raison de leur interface limitée.
Pour les utilisateurs de ces appareils connectés, il n’est pas nécessaire de faire quoi que ce soit pour tenter de résoudre les vulnérabilités puisque Armis a attiré l’attention d’Amazon et de Google, incitant les deux géants à sortir des mises à jour automatiques. Les utilisateurs d’Amazon Echo en particulier peuvent être assurés que leur haut-parleur intelligent est exempt de la vulnérabilité en veillant à ce qu’il ait été mis à jour avec la dernière version v591448720, ce qui indiquerait qu’un correctif a été déployé sur leur périphérique.
