Une faille majeure sur les appareils Google TV et Android TV exposait les comptes Gmail des utilisateurs. Nos téléviseurs regorgent d’informations personnelles grâce aux nombreuses applications qu’on y installe. L’utilisation de ces applications requiert toujours une connexion par adresse email.
Google a rapidement réagi en lançant une mise à jour de sécurité pour résoudre cette vulnérabilité. Découvrez comment cette faille mettait en danger votre sécurité et les actions prises par Google pour protéger ses utilisateurs.
Un risque d’exposition de votre Gmail
Les téléviseurs sous Google TV et Android TV possédaient une faille significative dans leur mécanisme de connexion aux comptes Google. Généralement, comme les smartphones et tablettes Android, ces dispositifs permettent une connexion au compte Google intégrée au système. Cette fonctionnalité permet à certaines applications comme Google Chrome d’utiliser cette connexion sans demander de mot de passe supplémentaire. Cependant, les protections par code PIN ou biométrie présentes sur les appareils mobiles sont absentes sur les téléviseurs Android TV et Google TV.
Des experts ont révélé cette vulnérabilité en montrant que des individus malveillants pouvaient théoriquement installer une version sideloadée de Google Chrome sur un téléviseur Android TV. Ils pouvaient ensuite accéder directement au compte Gmail du propriétaire du téléviseur. Cette faille ne provient pas d’une exploitation malveillante typique, mais d’une lacune dans la conception de la sécurité de ces appareils. Elle permet donc un accès facile aux informations personnelles si l’on connaît les étapes pour sideloader une application.
Le risque est accru par le fait que l’installation et l’utilisation de Chrome via sideload sur ces appareils ne sont pas prévues par Google. Cameron Gray, un YouTuber, a prouvé que cela pouvait être fait à l’aide de procédés détournés.
Une mise à jour pour Google TV et Android TV
Google a formellement annoncé le lancement d’une mise à jour pour éradiquer la vulnérabilité trouvée sur Google TV et Android TV. Cette mise à jour change la manière dont les appareils utilisent les jetons de connexion lors d’accès à Gmail ou Google Drive via des applications sideloadées comme Google Chrome.
Avant cette mise à jour, il était possible d’accéder aux comptes Gmail des utilisateurs sans aucun besoin d’authentification supplémentaire. Les nouvelles versions de Google TV empêchent désormais cette connexion automatique. Une mise à jour de l’application est donc nécessaire pour garantir que même les appareils plus anciens bénéficieront de cette protection.