jeudi, mars 12

Un bug Alexa a permis à un développeur d’écouter tout ce qui se disait dans la salle Amazon Echo.

5

Les utilisateurs s’inquiètent du fait que les haut-parleurs intelligents ont une fonction d’écoute permanente.

A lire en complément : Une startup vous paiera jusqu'à 3 millions si vous découvrez une vulnérabilité iOS ou Android

C’est cette fonctionnalité qui permet à l’orateur de réagir lorsque la phrase d’activation est prononcée, mais il y a ceux qui s’inquiètent du fait que, du fait de cette fonctionnalité, les entreprises écoutent à tout moment et donc empiètent sur leur vie privée.

Toutes les entreprises assurent aux utilisateurs qu’elles n’écoutent pas ou n’enregistrent pas les conversations mais, dans le cas d’Amazon, les chercheurs ont découvert un bug dans Alexa qui permet aux appareils Echo d’écouter tout le temps et aux développeurs d’écouter.

A lire en complément : L'application MyFitnessPal subit un vol de données personnelles de 150 millions d'utilisateurs

Une fois qu’Alexa exécute une commande, elle est censée cesser d’écouter, mais les chercheurs de la société de sécurité Checkmarx ont développé une fonction qui lui permet de continuer à écouter indéfiniment en profitant de la fonction “Reprompt” d’Alexa.

Quand Alexa n’entend pas bien votre commande, continuez à l’écouter et demandez à l’utilisateur de répéter la commande. Les chercheurs de Checkmarx ont découvert qu’un développeur pouvait écrire du code pour Alexa pour exécuter la fonction “Re-Request”, même si elle comprenait parfaitement la commande. Comme ça, il resterait à l’écoute.

Ils ont également découvert que les développeurs pouvaient faire taire la fonction “Re-solliciter”, pour qu’Alexa ne se fasse pas entendre en vous demandant de répéter l’ordre. Cette combinaison a permis à Alexa de continuer à écouter sans que l’utilisateur ne s’en rende compte.

Le seul signe qu’Alexa écoutait encore est l’anneau bleu autour de l’appareil Echo, ce qui n’est pas une solution efficace. D’ailleurs, d’autres appareils qui utilisent Alexa n’ont pas cet anneau de lumière.

La validation de principe effectuée par Checkmarx a été réalisée à l’aide d’une fonctionnalité de calculatrice qui fonctionnait comme n’importe quelle autre calculatrice. Cependant, après avoir résolu un problème mathématique, Echo a continué à écouter pendant plus d’une minute en profitant de l’erreur décrite ci-dessus.

Pendant cette minute, la calculatrice a transcrit tout l’enregistrement audio en texte et l’a envoyé aux chercheurs, en écrivant mot pour mot ce qui a été dit dans la salle.

La bonne nouvelle est que Checkmarx l’a dit à Amazon avant de révéler publiquement le bogue, et Amazon a déjà résolu le problème. Il n’est pas clair si quelqu’un aurait pu exploiter le bogue avant qu’il ne soit corrigé, mais jusqu’à présent nous n’avons rien entendu.

Dans une déclaration d’Amazon, “La confiance du client est importante pour nous et nous prenons la sécurité et la confidentialité au sérieux. Nous avons mis en place des mesures d’atténuation pour détecter ce genre de comportement et rejeter ou supprimer ces capacités lorsque nous le faisons.” Source : CNET

Inscrivez-vous à notre newsletter

Inscrivez-vous à notre newsletter

Joignez-vous à notre liste de diffusion pour recevoir les dernières nouvelles et mises à jour de notre équipe.

You have Successfully Subscribed!