On savait déjà que les enceintes connectées d'Amazon et de Google avaient tendance à laisser trainer l'oreille sans que l'utilisateur ne le souhaite vraiment, et divers scandales sur la gestion des enregistrements ont déjà fait surface.
Mais selon des chercheurs de Security Research Labs, ces enceintes connectées présenteraient également un lot de failles permettant à des pirates d'en prendre le contrôle à distance pour enregistrer et épier les utilisateurs.
Selon leur rapport, ces failles sont en place depuis avril 2018 au moins et si Amazon et Google avaient annoncé avoir corrigé le tir, il apparait que certaines sont encore en place et parfaitement exploitables.
Pour les pirates, il suffit d'utiliser les outils fournis par Amazon et Google pour leurs propres assistants et d'ajouter des plages de silence afin de faire croire que l'assistant est inactif alors qu'il continue d'enregistrer. L'utilisateur laisse ainsi son assistant actif sans le savoir, et tout ce qu'il dit est ensuite enregistré et peut être récupéré par les pirates. En piratant un peu plus ces assistants vocaux Amazon Echo et Google Home, on peut inviter l'utilisateur à donner divers mots de passe de vive voix, son numéro de carte bancaire, de sécurité sociale...
