Certains Google Home mini enregistrent en permanence, Réactions à la publication du 11/10/2017

[Lionel]

L'une des craintes autour des enceintes connectées que l'on installe chez soi est qu'elles puissent espionner en permanence tout ce qui se dit autour d'elles.
Un bug touchant certains produits Google Home mini aboutit à cela.

Google a constaté qu'un nombre (indéterminé) de ces appareils a un problème avec sa commande tactile, qui active en permanence l'assistant et envoie sans cesse les sons reçus à ses serveurs.
En attendant de pouvoir faire échanger ces produits défectueux, la société propose un patch permettant de désactiver totalement cette partie matérielle fautive.

[MàJ] Il semblerait que seuls des modèles de présérie envoyés à la presse étaient touchés. Toutefois, Google a annoncé son intention de désactiver totalement ce pavé tactile de ses appareils, ne permettant plus de les activer que par la commande vocale.

Lien vers le billet original

[uhflirug]

Excellent. Merci pour ce moment. J'ai bien rigolé.

Bon, en fait Starmatt avait commencé son message 41 sans les 4 premiers paragraphes, et donc directement par la citation puis l'a commenté. Et donc moi j'avais commencé à écrire ce message. Alors je ne sais pas si il a encore du sens, alors je vais faire comme star mat, et écrire le message en barré qui aurait été écrit s'il ne l'avait pas modifié ensuite en se dénonçant.

Baron, je vois dans ta signature que tu sembles spécialiste en recherche de messages. Pourrait on chercher les messages qui sont écrits avec Javascript ecrit avec un J et un S majuscule, et avec des phrases négatives mais sans le 'NE' dans 'ne...pas', comme dans << Google va pas s'amuser >>.
Remaque, il est fort probable que ce soit quelqu'un qui ait déja ecrit dans un thread qui réécrive dans un thread.
On peut aussi analyser ce que les phrases disent de la personnalité de son auteur.
Ecrire JavaScript avec un J et S majuscule, il faut avoir envie de donner des leçons d'informatiques et adorer se conformer à l'informatique presque divinement, surtout que il n'y a pas de NE dans ses phrases négatives, donc pas vraiment un littéraire, mais juste un trop grand fan d'informatique. << Google va pas s'amuser >>, il manque un 'NE'.

Puis un peu plus tard:

Ah Voila c'est Starmatt. [Quand j'ai écrit çà, Starmatt avait ré-écrit, mais ce n'etait pas encore dénoncé]. Il ré-écrit avec la syntaxe JavaScript et dans le meme thread, et aussi avec le même argument du: 'si google était vilain, ca se saurait'

Bon et puis finalement, Starmatt s'est rendu compte qu'il était à l'origine de tout cela.

=========

Bon, je ne sais pas si il y a encore des lecteurs ici, et si ces lecteurs ont encore confiance, dans le fait que l'auteur de ce message est moi ... ou mon homonyme Starmatt qui édite les messages avec des =====


Donc l'argument Starmatt, c'est deux fois le même. mais en générale, tes posts pointent toujours vers une reference bien à propos. Là non. Moi je n'ai trouvé que des 'rumeurs' qui expliquent comment marche la case à cocher de google 'je ne suis pas un robot'. La grande majorité de ceux qui ont fait des tests, disent que le script prend une capture de l'état de la page web (scroll, position de la souris, lettres tapées au clavier..) et qu'il analyse si c'est humain comme comportement. Et bien moi capturer les lettres tapées au clavier j'appelle ca justement capturer le contenu d'un champ de formulaire !.
Quand au fait que google ne peut pas etre vilain au point de pouvoir enregistrer les mots de passe d'un utilisateur, mais cela est deja fait avec tous les sites, (dont macbidouille) qui n'utilise pas le httpS. Et pas besoin d'être le destinataire comme dit pas erreur plus haut, il suffit d'être sur le chemin entre les deux ordianteurs. Autrement dit il suffit d'être un FAI pour ca. Et personne ne crit au scandale. Donc aucune raison que quelqu'un crie au scandale du fait que google puisse ainsi capturer les contenus des formulaires. CQFD Et c'était justement le sujet de mon premier message dans ce thread, tout le monde s'en fiche. Et En relayant le fait que google n'enregistre plus en permanence sur son micro connecté, ca induit en erreur le lecteur de macbidouille. Et c'etait ca le sujet à l'origine de mon message !
Bon il faut avoir la Foi comme dit Starmatt dans les Gafams .. et il n'y a pas de bug, ni de mal-intention, juste des clic qui se font sur des boutons où il ne faut pas avec un smartphone ou truc uBlock.

======== <- là ce sont des égales, pour rigoler encore un bon coup et se rappeler comment ce message a finit par être ridiculisé avec des hobits sur youtube , et qu'on en a oublié le message principal d'origine. Exactement comme google a fait oublié que il enregistrait tout, toujours, et encore maintenant (sites visités, mots de passes des formulaires...), en disant que le bug avait été réparé.

Enfin, bien entendu Google n'a pas développé son systeme de captcha juste pour récupérer une liste de plaques d'imatriculation, mais c'est comme la pêche au chalut. Il y a ça aussi dans le lot. Et cet exemple avait été cité non pas pour donner la motivation de google a developper ce systeme de captcha, mais pour illustrer le fait que l'état donne obligatoirement toutes les données aux gafams.

Allez hop, des petits ============ pour dire que là c'est peut être l'homonyme qui écrit :-) Si quelqu'un a compris quelquechose, bravo !

[SartMatt]

Et bien moi capturer les lettres tapées au clavier j'appelle ca justement capturer le contenu d'un champ de formulaire !

Non, ce n'est pas la même chose. Capturer les saisies au clavier, c'est un ensemble de caractères en vrac, sans aucun contexte. C'est quasi inexploitable, car on ne connait pas la signification de ces données.
Capturer des champs de formulaire, c'est cibler précisément des données, avec cette fois un contexte, pour pouvoir les exploiter.

De plus, le fait qu'il capture les frappes n'implique pas pour autant qu'il les transmette toutes au serveur telles qu'elles. Il fait des traitement en local en fonction de ces frappes, et le résultat final de ces traitements est transmis au serveur pour déterminer si ou ou non le captcha a eu affaire à un robot ou un humain. En regardant vite fait le code de reCaptcha, on voit plein de manipulation sur des .keyCode, donc effectivement, la récupération de l'identifiant de la touche pressée, mais derrière, il les utilise dans des additions, des soustractions, etc... ce qui fait perdre l'information brute, sans trop de possibilité de la retrouver (attention, je précise que j'ai pas étudié le code en détail, donc c'est possible quand même qu'à un autre endroit dans le code il récupère et stocke les saisies brutes... mais j'en doute, ça a échappé à mon survole rapide du code, ça n'échapperait pas à celle d'un spécialiste habitué à ce genre d'exercice).

Quand au fait que google ne peut pas etre vilain au point de pouvoir enregistrer les mots de passe d'un utilisateur, mais cela est deja fait avec tous les sites, (dont macbidouille) qui n'utilise pas le httpS. Et pas besoin d'être le destinataire comme dit pas erreur plus haut, il suffit d'être sur le chemin entre les deux ordianteurs. Autrement dit il suffit d'être un FAI pour ca. Et personne ne crit au scandale. Donc aucune raison que quelqu'un crie au scandale du fait que google puisse ainsi capturer les contenus des formulaires.

Sauf que justement si leur système de Captcha faisait ça, il pourrait aussi récupérer ces données sur un site en HTTPS, et sans avoir besoin d'être le FAI. C'est pas tout a fait la même chose quand même hein, ce serait gravissime s'ils s'amusaient à ça (cela dit, je me demande quand même si le navigateur n'empêcherait au JavaScript d'accéder aux évènement keydown/keypress et cie quand le focus est sur un champ de type password...).

Bon il faut avoir la Foi comme dit Starmatt dans les Gafams

Non, tu interprètes très mal mes propos là. Je dit pas que j'ai une confiance aveugle envers la GAFAM, mais plutôt que j'ai confiance envers les milliers de spécialistes en sécurité qui eux ne font justement pas confiance aux GAFAM, et vont donc vérifier ce qu'ils font.

Et puisque tu veux des références, voilà par exemple un papier d'une équipe de chercheurs qui a étudié reCaptcha en profondeur pour essayer de le casser : https://www.blackhat.com/docs/asia-16/mater...eCAPTCHA-wp.pdf

On peut raisonnablement penser qu'avec ce type de recherche, s'il y avait capture et envoi des données saisies dans une forme exploitable, ça aurait été détecté.

Il y a aussi celui là : https://github.com/neuroradiology/InsideReCaptcha
D'après son analyse, il y a en fait bien une partie de code binaire interprété, contrairement à ce que j'avais pensé en première analyse rapide, mais en deux jours de travail il a été capable d'écrire un désassembleur/décompileur pour ce code binaire. De son analyse, il résulte que les données capturées au niveau clavier/souris seraient uniquement celles tapées dans l'iframe de reCaptcha (il ne cite pas d'autres captures de clavier/souris, même s'il précise quand même qu'il pourrait y avoir d'autres choses qui lui ont échappé). Donc pas quand le focus est sur un champ de formulaire (le formulaire étant en dehors de l'iframe). Avec le recul, ça semble somme toute assez logique : par sécurité, il est fort probable que le navigateur empêche au JavaScript d'une iframe d'accéder aux évènements ayant lieu dans une autre frame, surtout si elle n'est pas sur le même domaine...

Et cet exemple avait été cité non pas pour donner la motivation de google a developper ce systeme de captcha, mais pour illustrer le fait que l'état donne obligatoirement toutes les données aux gafams.

Ça n'illustre pas, ça reste une supposition. Tu supposes que Google récupère les données du formulaire, mais tu n'en sais strictement rien.

Ce message a été modifié par SartMatt - 12 Oct 2017, 23:35.

[zero]

Et bien moi capturer les lettres tapées au clavier j'appelle ca justement capturer le contenu d'un champ de formulaire !

Non, ce n'est pas la même chose. Capturer les saisies au clavier, c'est un ensemble de caractères en vrac, sans aucun contexte. C'est quasi inexploitable, car on ne connait pas la signification de ces données.

C'est complètement faux. C'est en vrac, il faut chercher mais ça donne plus d'info même.

Ce message a été modifié par zero - 13 Oct 2017, 00:30.