Certains Google Home mini enregistrent en permanence, Réactions à la publication du 11/10/2017

[Lionel]

L'une des craintes autour des enceintes connectées que l'on installe chez soi est qu'elles puissent espionner en permanence tout ce qui se dit autour d'elles.
Un bug touchant certains produits Google Home mini aboutit à cela.

Google a constaté qu'un nombre (indéterminé) de ces appareils a un problème avec sa commande tactile, qui active en permanence l'assistant et envoie sans cesse les sons reçus à ses serveurs.
En attendant de pouvoir faire échanger ces produits défectueux, la société propose un patch permettant de désactiver totalement cette partie matérielle fautive.

[MàJ] Il semblerait que seuls des modèles de présérie envoyés à la presse étaient touchés. Toutefois, Google a annoncé son intention de désactiver totalement ce pavé tactile de ses appareils, ne permettant plus de les activer que par la commande vocale.

Lien vers le billet original

[uhflirug]

Message original de uhflirug :
====================================

Suffit de regarder dans la console réseau du navigateur pour voir ce qui est transmis et à qui : le numéro d'immatriculation est transmis uniquement au serveur certificat-air.gouv.fr

moi, je vois dans la console network que ca envoie à google dans une 15 aine de variables le texte ci-dessous.
Alors je ne vois pas comment avec ça on peut verifier si il y a le numero de la plaque d'imatriculation la dedans ou pas !!!!
Sans compter les meta data (date à laquelle la variable est appelée, etc..) qui permet d'encoder plein de choses aussi dedans.

k=6LdtcyMTAAAAAK0uIDosXsrguWqX9M1NsoMdrKRf
NID=114=xKjAFCloSlJw-uTS_8pq4BKTOxZ-YEhGoJSTGFe4VJ7Ub8pWUVghOQHDmrQSKH67A4eM1aG0T_7G6xDE4bvMwtYNRLdv1-6LbffK87NeNWjJq6OdlB5IVw8aP6pEFkmZ;
v=r20171003155951&k=6LdtcyMTAAAAAK0uIDosXsrguWqX9M1NsoMdrKRf
03AJzQf7OFxKeZ8ZxFDbwMwwkr9IwjvtHjvWmskSAAdHAYqCmpyJ6Hav_KFgG6no5VukcId30Qiac8wB
4q0PpvQwzCdP8hxnb7NcXPx1L74jBjVaTQ0ECP6bXRqEevTlPuhkrPLDFII0yPbkDh5Lzv9Dg39GrE5q
4
ZTzlbZuNuJnVFzg1rNmoFcAprCAolwYruXDEBe-fTn0s4NEvPzr83J8BSc3jrXkS2zb6AhC1IrGwaP2AZQevF23EodGSdzqhOH0m4FHfjerSmqOCpcwSp2O
eYtWz7sWCYx8xPISMy53F6Z6sRZCF6gthpNuBtbBDPKNcY1nmwyzTpJ-Q9HEhkp4BEcdcZr4wiWp0p30ez-Pcubu0xYbp2re0ZqIk3IIoW6BGlslTt-pGXrjb3S_sRK2y8uWUp1iBNJxZPgpMmGadpoQd8BHYKjD1WShQR7v9YUj5JJwU2YggH
!YGagZkdHhykmnjLJy6VB63co0wmoeckHAAAAO1cAAAB_nAUgOR4a3Z28sXBjs7OJjYa9jHC9Ge3U
cTbnThTWx5vsIwvQYdk4hGyLz3O1Psg27N2JVL04k__DBRhSfBJCsM761Y6Dtq41GebPF2-UXIbMzkXAG6LUs0t6JU_S74YzY_OA7caPyrzZ6-75EdIXA8e2R234xiLOiTmRoaey_9GqLY3hGEgOQuxjEdUAzR5KjruPI-04wj1B8gkoho5FNGFEbk9bLZFypj07oz6SfkJXMo72fSfmWyeUsTeWtWMaTvuTJtDtY54U9rWcvZp2lm
SPhmaLKvovTomsYsDjeanmvWb-P2ydKByIhMYV8CpoojR8qnoREpjnR6Odc9s8Nv2yE2m3yAbKWfnWu8AKEHMkvuiad8YBlb3O1FtjsCD2
pjYYPt844QgnxjYjyNGOYVtxxfvnhceaNC9qDN8miIFLcrks5_kUk6QdvIwn9weiJbceAb9sKned5WV2
O
BwvFUcM0MN2EXyB6NVEy96gCFkcVfHT2AoHeLGkbNnGyuE7zfD1lcSLdkI6CjQL_gggBzTedxYtdPulQ
d
h_ky8X84WSoU3-Oh8a8MQeDZEcv46ly9w4gv_MHnG02s30z2SDduyaFD5vzh8eXs-gYNy5ZpmiWjtRMSkrYCcTUr_B5hyfxTaNUETx1OBT57ezzNOfr5r3De_-TqyeA1Q8af65XBSr4hyDN4SXAydw_hgSQaB7-OR_sWbXha_q4ACf5XpKFIaCtOkiWCGCN_2WMFb1Ybb-z619O6hAPF8TYpqiA4tfbve5zepAF33mMqNyo-GdA4amPT9ZsEgvSONnMz7feqvxVbd1jo9-m6MEnyav03wGnmXIHBXOEScbsayyh81aFjznKDMF8_A48nxyOUyz9F4iWrHp2_o4cWU-rdCZdtUON8FPuJAnpeaBAzWeJesu5Df9xyHPfSx_zKV25OFvRuC5_c7kd45uao7XPT0K-BcwGYI8YPzwA68DKCe3n0ZcoGnuAujash8bOqC0VHDSrtsZ59O0W0AfKg03vc3HThTCm7siUqhbSLsKw
69LCY4F941_wMfa1HSKs9j1mXDeYKGVOuQiml4LOlNX0ks0eC3y3ztic_STbB99e3t5i9p-dFz8BH3kjBCNwMpbTwmSWJbC30WbQ6w-pR5uSyw9u5Pr7q93rq5jogW-_TUlYb5psFdQ-Ot4tQOoN4w77xmaGNpDf0KNCyMcV47ylxaU17qzUyciUZF9AUyz7_wTpVxk1v1qXh11Kha_Pc36h2Xjh
JKQlH3eJn_0jyxW-THYqlXym0B7zczGejqazWrx7EpSeubGY445u0owtf6DPugf9KNu89BJBTEXhSPZ63xkruZtFJ_Lsh1PX
qn6Uyg2PcPiCFJy5jL-VyaHNMXQ2NCdYUR43s0e5tnNjRjNbjRs5oVhg7emIEV1eoAOK56SP3vR3xCU18bymI7mlBlAgYrS5Fz1
Aa52_emekqKb2erc5QVWTpyFPnlKfuLsI1wvfbGRnGBfp2W_9G5YQMPZyYZWJgxfN3d7hhBUbQ6zB_O-dP5UCTGJDE3tLACpDFxIWxKjSQMG61vX_KCpYEEvtkPgrYuqkPZyA3qQc1eZrwSwjtQHpHWzLi3nGbX7-hoT9mQF7bxtVdexhEzLSlLpyFYfL-ldelzIaP2rljAjlm76VNx94rG2iAEFFLpZcnPE31sJ_bbsofV2XXZ4YbJWjDz13eVIL_4rDrE7K5aKrA
PZxtD8kdA6pmb9oRw1vypkkSCtmHbcpA
r20171003155951
RxZJdnzeo3R5zSexge8UUZBw1xU1rKptJj_0jans920
&v=r20171003155951&k=6LdtcyMTAAAAAK0uIDosXsrguWqX9M1NsoMdrKRf
/5-d2-ZBzo-CaK7X3xYiDTgo-9Y2WoT2Pw5IN2Nh3gQ0
c=03AJzQf7N8k8l8l1VcxWXyyM0TeRvT4-Aj3IjDvTB1vt3VLfUD-5bugT_p7pxGb2W0Gt-c5up75I7biDJNdRg8R680soSgFcCaqNUwh7rcSgouYOfBF907sLoajZ10L8q3CZI0ZmoFrzxXnnCDbqc
HIfIWfVjtcsTviu6lI9ySoN5eBcT4WDzy-CYtUmTJDtslSmSVU8HKLAM-XYtNubwhBw49x73glp21df938bd_6aOIAGlbfZXBpXJQnN_V8sCBmuxbnJR1leTGTrIjFu_uRSXaqYQe
G0mn6_LO7cvyj2R_BEg0rU7QckGAh7gbEOJI1DdmCUXhx-61pTsIj-nAr6SvrODI_h9M9cDzCIZIbxtScU18DLXO4FDEeiU51Lmz7QvGI7NtuuEFT5Iq2409WhjfHfb1xox5PY
NDueVloB7CyXOy10ZhDRpbed0T06xB_spvrdXk6-0aXU5bevF8VMximP2fIjPYgPSWBKly2l-0V2yta_PzfKoQx62ncDL9wKPiuzuotSbe4aIm6Mu3vMTXQZH6-03rXttp1vZ5Zq7f5uHNZbmjIqzZ1JC-Q56qcNhYX3r7Fup9x1BF6CA7yTGORPyRcmcoCdUCtiqAhyYd7mfEuYkfoOyMAOouN_EDKnNbRF1FD3O4
BUH96PvzTplChvGv2Cjs9xOB3Yh4WbaTkAhmwiehX0IpAXNHZTGW5BVVgHvUp--er48NFSin3lLYJDMJnp9GD0ZRf-SQsIGrWnm-ixHn1z73S-FYh7Cp472JDpzCgqiyodQxq3Cch4_MDypuA-unGeE-d9_02Md74tJhiM7ms13662uppxH03k_1NaKnt5j5bFIv2A7m32lBu9NTKNLNpdD3GX4o1qk7qZDGnon5
Mest0qcS0Egn1RkYrGZ7dxdDWLjTLvDXZHP2H3s9H-XeYgfROvGnHmtuhZIq6rO1_eCocyj0k8aZC0m5YU7BgDMR4rv9op_alokuV5gkAtCq6nEfaiFEKGVebr
7nUmwE_1qVBegj4-0q20RswX1rdc6prnXw5juDNMGpAcoNr1MwxAQaJ90ey-xcHIQgEJiOtNZLzt2t-tcXB-d6mXgbDzjAsp8fmBIGO4dZY1MWqAnMNDMqVyDDmrmDiciZyRO8sr7-BBvtx4eyKpTgaSWeysKii7PXqugGd4iHOFYiTazvCw&k=6LdtcyMTAAAAAK0uIDosXsrguWqX9M1NsoMdrKRf
NID=114=xKjAFCloSlJw-uTS_8pq4BKTOxZ-YEhGoJSTGFe4VJ7Ub8pWUVghOQHDmrQSKH67A4eM1aG0T_7G6xDE4bvMwtYNRLdv1-6LbffK87NeNWjJq6OdlB5IVw8aP6pEFkmZ
====================================



Réponse de SartMatt ayant accidentellement écrasé le message original :
====================================
Google va pas s'amuser à mettre dans le code JavaScript de son captcha quelque chose qui va aller analyser le contenu de la page pour repérer les champs de formulaire et envoyer les données à Google. Parce que ça serait très vite repéré par les chercheurs en sécurité qui analysent ce genre d'outils.

Et le seul moyen de récupérer les données d'un formulaire sans faire de JavaScript, c'est en étant la destination lors du submit du formulaire. Or le submit du formulaire est bien fait vers le serveur Critair, pas vers un serveur Google.

En plus, si Google veut récupérer les immatriculations des Français, il peut prendre directement un accès au fichier des immatriculations, que l'État commercialisé... Ça sera plus simple et plus fiable que de tenter de hijaker les données de Critair via le captcha...
====================================



Réponse de uhflirug :
====================================
ici uhflirug qui répond à uhflirug ci dessous, et comme c'est moi sans être moi, je le fais directement dans le message.
:-)
^^ Il faut penser par soit même. <<Les>> dits chercheurs en sécurités sont incapable de comprendre ce qu'envoie google justement et google ne communique pas sur le sujet. Il en est de même pour tous les gens dont la motivation ne serait pas la recherche en sécurité mais de gagner beaucoup d'argent et qui << analysent ce genre d'outil >>.
====================================

Ce message a été modifié par SartMatt - 12 Oct 2017, 21:37.

[SartMatt]

Je confirme qu'il n'a pas écrit le message 34. C'est moi qui ait merdé, j'ai répondu depuis mon smartphone, j'ai cliqué sur le mauvais bouton ("Editer" au lieu de "Citer") sans faire gaffe. Ça m'était déjà arrivé sur mon PC aussi, mais j'ai du coup mis une "protection" en installant uBlock pour supprimer le bouton "Editer"... Ce qui n'est pas le cas sur mon smartphone...

Le message d'origine que j'ai édité par erreur est celui que uhflirug a reposté à 21h34 (3 dernières lignes de text + le blob en base64).

Désolé

Je vais rééditer les messages pour redonner un peu de cohérence à l'enchainement...

^^ Il faut penser par soit même. <<Les>> dits chercheurs en sécurités sont incapable de comprendre ce qu'envoie google justement et google ne communique pas sur le sujet.

Ces données, elles sont générées par du code JavaScript. Code JavaScript qui est du code interprété, exécuté localement sur le poste client.

Bien entendu, ce code est minifié, ce qui le rend difficile à lire. Mais pour un spécialiste qui voudrait l'analyser, c'est très très loin d'être insurmontable. Sans doute une affaire de 1 ou 2 journées de travail pour arriver à sortir un code exploitable.

Éventuellement Google pourrait avoir poussé loin en faisant un code compilé, exécuté dans une machine virtuelle écrite elle même en JavaScript. Mais non seulement, même comme ça ça reste analysable, mais en plus, le simple fait qu'ils fassent ça pourrait lever des soupçons... Et en regardant les sources ça a pas l'air de cas, je vois pas de gros blob binaire dedans, juste du code JavaScript minifié : https://www.gstatic.com/recaptcha/api2/r201...ecaptcha__fr.js

D'ailleurs, sans même analyser le code JavaScript lui même, c'est possible de voir si il accède au non au contenu des formulaires des pages : il suffit de prendre les sources d'un navigateur open-source, d'ajouter des traces lors des appels à certaines fonctions de son API JavaScript, de recompiler le tout puis d'exécuter le code de Google dans ce navigateur. Je serai pas surpris d'ailleurs qu'un Firefox compilé en mode debug intègre déjà ce genre d'outils de traçage...

Vérifier que le code du Captcha ne va pas aller lire les données du formulaire, c'est sans doute l'un des premiers trucs que des chercheurs en sécurité auront vérifié, vu que si il fait ça, ça veut aussi dire accès à tous les logins et mots de passe sur les sites utilisant le captcha comme protection anti brute-force...

Vraiment, Google n'a aucun intérêt à s'amuser à ça. Ça se saurait très vite et Google aurait énormément à y perdre. Et surtout pas pour accéder aux plaques d'immatriculation de quelques millions de français, alors qu'ils peuvent avoir accès à l'intégralité de la base de données moyennant quelques dizaines de milliers d'euros...

Ce message a été modifié par SartMatt - 12 Oct 2017, 22:09.