Une manipulation relativement simple permet d’accéder à un compte Gmail depuis n’importe quel appareil Android TV relié à un identifiant Google. De quoi provoquer quelques sueurs froides pour les internautes soucieux pour leur vie privée.
Techniquement, les box télé Android n’offrent pas d’accès au web et encore moins à Gmail. Les appareils de type Nvidia Shield ou Xiaomi Mi Box sont limités à l’utilisation d’applications de streaming et quelques jeux. Mais une manipulation permet d’accéder à la boite mail du compte renseigné lors de l’initialisation de la box. Pour peu qu’une personne peu scrupuleuse ait accès à votre télé pendant une poignée de minutes, votre vie numérique pourrait être en danger.
Un mouchard nommé…. Chrome ?
Comme l’a détaillé le Youtubeur Cameron Gray il y a 3 mois, installer Chrome sur Android TV permet de profiter du système d’identification automatique sous-jacent d’Android et offre donc un accès facile à votre boite Gmail. Techniquement, le navigateur Chrome n’est pas disponible sur Android TV ce qui limite les risques, mais en téléchargeant un autre navigateur disponible sur le Play Store puis en installant un APK de Chrome, il devient possible de naviguer sur le web en utilisant les identifiants Google utilisés sur la box.
Android TV fonctionne en effet comme son petit frère pour téléphone. Une fois un compte Google inscrit dans les paramètres du système, toutes les applications Google peuvent s’y brancher pour éviter de redemander les identifiants utilisateurs à chaque fois. Et cela vaut pour Chrome aussi, bien que son utilisation ne soit techniquement pas autorisée sur les box TV. Installer Chrome équivaut donc à avoir accès à tous les services Google de l’utilisateur ou l’utilisatrice de la télé en question, y compris Gmail qui contient moult informations confidentielles et qui peut être utilisé pour remettre à zéro les mots de passe d’autres services.
Un correctif en route
Si ce « bug » n’en est pas vraiment un, puisque le système agit comme il devrait, mais dans des circonstances pas prévues, Google a tout de même confirmé qu’un correctif allait être appliqué sur les box concernés pour éviter toute prise de risques inutiles. Il est facile d’imaginer comment un pirate peu scrupuleux pourrait en effet accéder à des informations critiques sur des box utilisés en contexte professionnels ou même sur des appareils de seconde main vendus sans être remis à zéro.
Et si vous vous demandez pourquoi Google corrige ce problème 3 longs mois après la sortie d’une vidéo soulignant la faille béante, c’est parce que l’information a été transmise à un sénateur américain qui s’est ému de ce potentiel problème et a consécutivement mis la pression sur Google pour que l’entreprise change le fonctionnement de ses box.
Source : 404 Media
