Introduction

Les assistant vocaux sont devenu de plus en plus rependues dans nos maisons et notre vie en général. On pourrait facilement penser qu'ils sont hors de danger du fais qu'ils soient justement à domicile et donc normalement inaccessible physiquement cependant des chercheurs en cybersécurité nous ont déjà démontrés qu'il existait plusieurs risques liés à ces équipements.

Laser-Based Audio Injection

L'injection d'audio par laser est une vulnérabilité des microphones MEMS qui permet aux attaquants d'injecter à distance des commandes inaudibles et invisibles dans des assistants vocaux, tels que l'assistant Google, Amazon Alexa, le portail Facebook et Apple Siri en utilisant la lumière.

Bien que cette attaque demande des moyens qui rend l'exploitation de cette vulnérabilité dans un contexte réel, elle reste tout a fait exploitable et dangereuse en cas de négligence.

Cette attaque pourrait permettre de demander toutes sortes d'instructions à l'assistant comme si on était devant alors même qu'on se trouve à une centaines de mètres de celui-ci.

Une personne ayant une maison totalement connectée à un assistant pourrait alors permettre à un attaquant de:

• Gérer les lumières, volets etc

• Déverrouiller la porte d'entrée

• Ouvrir une porte de garage

• Passer des commandes en ligne

• ...

ressource: https://lightcommands.com/

Vulnérabilités dans les API

Un chercheur en cybersécurité a découvert en 2022 une vulnérabilité dans l'API des Google Home permettant de lier son compte (en tant qu'attaquant) à celui de la victime et d'accéder au microphone de l'appareil pour espionner son propriétaire mais aussi de faire les mêmes actions que pour la vulnérabilité précédente.

ressources:

• https://downrightnifty.me/blog/2022/12/26/hacking-google-home.html

• https://github.com/DownrightNifty/gh_hack_PoC

Autres ressource: