Une vulnérabilité récemment découverte sur Android TV permettait à des tiers disposant d’un accès physique à l’appareil d’accéder aux comptes Gmail et aux services associés. Heureusement, Google déploie un correctif et propose des solutions alternatives pour atténuer les risques.
Android TV, le système d’exploitation équipant de nombreux téléviseurs connectés, présente une faille de sécurité corrigée in extremis par Google. Cette vulnérabilité permettait à un individu malveillant ayant un accès physique au téléviseur d’accéder au compte Gmail de l’utilisateur ainsi qu’à d’autres services liés à son compte Google.
Une faille sur Android TV permettait d’accéder aux comptes Gmail
La faille exploitait le fonctionnement habituel d’Android TV. En effet, le système conserve la connexion au compte Google de l’utilisateur, facilitant le lancement des applications autorisées du Play Store. Or, bien que Google n’autorise pas l’installation officielle du navigateur Chrome sur Android TV, un contournement simple permettait de contourner cette restriction.
C’est précisément ce qu’a démontré le YouTuber Cameron Gray. Grâce à un navigateur web tiers disponible sur le Play Store, il a téléchargé et installé l’application Chrome à partir d’une source externe. Une fois Chrome ouvert, il a simplement accédé à gmail.com, lui donnant accès à la messagerie de l’utilisateur du téléviseur.
À lire : Google TV : changer de source audio va devenir très simple grâce à cette nouveauté
Suite à la mise en lumière de cette faille par le sénateur américain Ron Wyden, Google a initialement considéré ce comportement comme normal et non comme une faille de sécurité. Face à la pression exercée, l’entreprise a finalement reconnu la gravité du problème et s’est engagée à le résoudre.
Google assure que la plupart des téléviseurs Android TV récents ne sont plus vulnérables à cette manipulation. Un correctif est actuellement déployé pour les appareils restants. L’entreprise rappelle également l’importance de maintenir le logiciel du téléviseur à jour.
En attendant la mise à jour logicielle, les utilisateurs soucieux de la protection de leur vie privée peuvent envisager une solution alternative : utiliser un compte Google distinct pour leur Android TV.
