Android TV laisse installer Chrome et accéder aux données du compte Google
Une mise à jour ? Quelle mise à jour ?
Android TV a un problème : il est possible d’installer Chrome et donc d’accéder à l’ensemble des données raccordées au compte Google. Le système d’exploitation étant disponible sur de très nombreux appareils, la faille peut être exploitée dès qu’un accès physique est possible. La société a corrigé le tir, mais de nombreux produits ne sont plus mis à jour.
Le 29 avril à 13h58
8 min
Sécurité
Sécurité
Avec Android TV, Google a rencontré un vaste succès. Son système d’exploitation, spécialisé dans les interfaces TV, est présent dans les accessoires de l’entreprise depuis des années. Mais on le trouve aussi embarqué dans de très nombreux appareils, dont les fameuses TV connectées.
Bon nombre de constructeurs ont adopté cette solution, plutôt que de développer leur propre plateforme. La pression exercée sur les développeurs et éditeurs est en effet partout la même : dès que deux ou trois plateformes sont solidement installées dans le paysage, il est très difficile pour d’autres de se faire une place au soleil.
Adopter Android TV, c’est donc indiquer aux clients qu’ils pourront accéder à l’ensemble des applications du Play Store. Pas besoin pour le constructeur de demander que des versions spécifiques de Netflix, Disney+, Amazon Prime ou encore Twitch soient développées pour sa propre plateforme.
Android TV facilite également l’inclusion dans le parc logiciel des clients. La majorité des appareils mobiles fonctionnent avec Android, ce qui permet notamment de synchroniser son compte, de retrouver ses informations, d’envoyer facilement un flux vers la télé en Chromecast, etc. l’équivalent, en somme, de ce que propose la pomme avec son Apple TV, à ceci près qu’Android TV est inclus dans la plupart des téléviseurs depuis des années.
Seulement, cette synchronisation des informations peut se retourner contre les utilisateurs.
Un compte centralisé
Dans un article paru le 25 avril, 404 Media raconte comment une vidéo a mis le « feu aux poudres ». Elle a été publiée il y a trois mois par Cameron Gray. En 20 minutes environ, il détaille comment accéder aux données privées du compte lié à l’appareil, sans recourir à des manœuvres complexes. Tout ce qu’il faut, c’est 15 minutes devant un appareil non surveillé.
La vidéo montre le gros problème de l’approche de Google en ce qui concerne la galaxie Android : l’entreprise part du principe que l’appareil utilisé est nécessairement privé, dans le sens où il serait réservé à une seule personne. Il n’y a qu’à voir Chrome, le temps qu’il a fallu au navigateur pour gérer des profils et l’absence – toujours aujourd’hui – d’un quelconque moyen de protéger leur accès, ne serait-ce que par un code PIN.
Cette gestion centralisée commence invariablement par la demande, sur l’appareil nouvellement acheté ou réinitialisé, de la connexion au compte Google. Celui-ci est disponible à toutes les applications installées. Si vous installez n’importe quelle application Google sur un smartphone par exemple, elle s’ouvrira la première fois avec le compte préconfiguré.
15 minutes suffisent
Sur une télé, le nombre d’informations visibles est fortement réduit. Du moins normalement.
Signalons d’abord qu’Android TV n’a pas de navigateur par défaut. Le système n’est pas fait pour ça, Google étant parti du principe que la télécommande était loin d’être le périphérique d’entrée idéal pour naviguer. À la place, ce sont les applications qui sont mises en avant. On peut cependant contourner le problème.
La vidéo montre comment on peut se rendre sur le Play Store pour y récupérer un navigateur tiers, ici TV Bro (Chrome n’est pas présent sur le Store). De là, on récupère Chrome depuis un site en proposant le fichier APK, le format d’archive utilisé pour les applications Android. Et au cas où vous vous poseriez la question : oui, il est possible d’installer cet APK sur un appareil Android TV !
Une fois Chrome installé, on se rend manuellement sur un service de Google, comme Gmail, Drive ou YouTube. La télécommande n’est pas prise en charge, c’est la seule réelle contrainte de la procédure : il faut pouvoir raccorder un clavier à l’appareil utilisé, en filaire ou non. Le compte Google de l’appareil étant disponible de manière centralisée, la connexion au service est automatique.
Le problème est évident : chaque ouverture d’un service permet d’accéder aux données qui y sont stockés. Si vous vous rendez sur Google Photos, vous aurez potentiellement accès à tous les clichés de la personne détenant le compte. Ce sera probablement le cas si celle-ci détient un smartphone Android, Google Photos synchronisant souvent les photos avec son espace de stockage. Si vous ouvrez Gmail, vous aurez accès à toutes les communications.
Toute donnée synchronisée par le compte Google y est accessible d’une manière ou d’une autre. On peut même trouver des informations partielles sur la carte bancaire, si celle-ci est liée au compte. Ce qui est généralement le cas, Google l’imposant pour pouvoir puiser dans le Play Store, même si l’on s’en tient à des applications gratuites.
Le problème est donc sérieux.
Google a d’abord fait la sourde oreille
Google a été avertie par nul autre que Ron Wyden, sénateur démocrate américain, connu pour son implication sur les questions numériques, tout particulièrement la vie privée.
« Mon bureau est à mi-parcours d'un examen des pratiques de confidentialité des fournisseurs de technologie de télévision en continu. Dans le cadre de cette enquête, mon équipe a découvert une vidéo alarmante dans laquelle un youtubeur montre comment, grâce à un accès non surveillé de 15 minutes à un décodeur Android TV, un criminel peut accéder aux emails privés de l'utilisateur de Gmail qui a installé la télévision », a déclaré le sénateur à 404 Media.
Selon nos confrères, la réponse initiale de Google était très simple : il s’agissait de comportement attendu d’Android TV. En d’autres termes, ce n’était pas un bug, mais une fonction. Cependant, au vu du battage médiatique depuis l’article initial, Google a changé son fusil d’épaule.
« La plupart des appareils Google TV utilisant les dernières versions du logiciel n'autorisent pas ce comportement décevant. Nous sommes en train de déployer un correctif pour les autres appareils. En tant que meilleure pratique de sécurité, nous conseillons toujours aux utilisateurs de mettre leurs appareils à jour avec le logiciel le plus récent », a ainsi déclaré Google à 404 Media.
Ce n’est pas si simple
Beaucoup l’auront vu venir : il n’est pas toujours possible de mettre à jour un appareil Android TV. Dans notre cas par exemple, un téléviseur Philips TPM171E, sorti en 2018, ne risque pas de recevoir le correctif de sécurité. Ce modèle de 2018 est en effet resté bloqué à Android 8.0, la dernière mise à jour de sécurité remontant à octobre 2021.
C’est un problème maintes fois dénoncé et le parc Android (au sens large) y est éminemment sensible. Les conditions d’intégration sont larges et permettent pratiquement aux constructeurs de n’en faire qu’à leur tête quand il s’agit de vendre, mais pas d’entretenir. La situation commence tout juste à évoluer sur le terrain des smartphones, le Pixel 8 de Google étant par exemple fourni avec sept ans garantis de mises à jour pour Android et de disposition des pièces détachées.
Dans le cas d’Android TV, il est très probable que l’immense majorité des téléviseurs soient trop âgés pour profiter des correctifs de sécurité. Outre le fait que beaucoup ne pourront sans doute pas appliquer le correctif dont il est question aujourd’hui, ils pourraient servir de relais pour des attaques ou potentiellement être attaqués pour dérober des données à distance, si des failles devaient autoriser ce genre d’action à l’avenir.
On apprécierait que l’enquête de Ron Wyden fasse tache d’huile, afin que les constructeurs arrêtent de considérer le système fourni comme un quasi-abandonware. En attendant, attention à l'usage que vous faites de vos appareils Android TV.
Android TV laisse installer Chrome et accéder aux données du compte Google
-
Un compte centralisé
-
15 minutes suffisent
-
Google a d’abord fait la sourde oreille
-
Ce n’est pas si simple
Commentaires (30)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousModifié le 29/04/2024 à 14h13
Il reste toutefois possible démarrer directement sur une Apple TV (en configurant des DNS propres bien sûr), ou autre alternative dénuée de mouchards.
Le 29/04/2024 à 14h45
Il existe une marque en 2 lettre avec WebOS a la place d'Android TV :)
Le 29/04/2024 à 17h27
Mais Samsung n'utilise plus Android TV aussi il me semble. Mais Tizen, depuis quelques années.
Le 29/04/2024 à 17h29
Bref c'est très limité. Vue la politique des constructeurs, il est plus judicieux d'acheter les TV par rapport à leurs performances visuelles et respect des standards et utiliser un boitié type Nvidia Shield pour la partie media center.
La TV n'ayant plus besoin d'être connectée à internet, cela évite les failles de sécurité. De plus changer un boité à max 120€ c'est plus simple qu'une TV à 1500€
Le 29/04/2024 à 17h36
Le 29/04/2024 à 17h42
Par contre je suis largement d'accord avec le 2ieme point, une TV c'est avant tout une image, après le processing peut être déporté.
Et je vous voit au fond avec votre tv 99% du temps sur le freeplay ou votre autre box opérateur et pas sur l'os de la tv.
Le 30/04/2024 à 11h01
Rien ne t'oblige à connecter ta télé pour pouvoir l'utiliser - au moment de l'acheter j'ai d'ailleurs été un peu déçu de ne pas trouver une télé qui soit un simple moniteur, je n'avais vraiment besoin de rien d'autre.
Le 30/04/2024 à 13h39
L'avantage du Chromecast si j'ai bien lu la page Google, c'est que chacun peut avoir son compte dessus. Par contre je ne sais pas si c'est facile de passer d'un compte à l'autre et il faut penser à se déconnecter pour que le suivant n'ait pas accès à ton compte.
Le 30/04/2024 à 14h39
Modifié le 29/04/2024 à 14h24
Dis Papa, c'est qui sur la photo sexy que tu as reçu sur ton adresse gmail qui apparait sur notre Android TV ?
Le 29/04/2024 à 14h24
Modifié le 29/04/2024 à 15h41
En commençant à lire l'article, je me suis dit comme Google : c'est normal d'avoir accès au compte de la machine depuis Chrome avant de penser que certains avaient dû mettre leur compte perso et que c'était le début des problèmes. Quand j'ai compris que Chrome n'était pas disponible sur le store TV de base, je me suis dit que c'était vraiment une faille que Google n'avait pas vu venir.
Bon, après, je suis suffisamment informé de ce genre de risques pour avoir eu le réflexe de créer un compte, mais je comprends très bien que certains n'y pensent pas et qu'il faille les protéger contre ça.
Le 29/04/2024 à 17h30
Le 29/04/2024 à 17h56
Donc, soit tu essayes, soit quelqu'un d'autre répond.
Le 30/04/2024 à 10h23
Le 30/04/2024 à 10h20
Le 29/04/2024 à 14h38
Si l'utilisateur raccorde tous ses périphériques sous un même compte fatalement ils ont accès au mêmes données du compte.
Le 29/04/2024 à 15h06
Le 29/04/2024 à 15h34
Bref, on a l'impression d'avoir deux ordinateurs.
Je me suis toujours dit que le matériel qui fait tourner Android souffre d'une grosse lacune par rapport à l'IBM PC/Compatible (oui, c'est vieux) : un standard. En PC, y a le BIOS, et maintenant l'UEFI, et tous les périphériques fonctionnent quel que soit les puces de la carte mère. Au moins la base. Pas sous Android, il faut le device tree, et c'est la foire. Du coup, si le constructeur ne se fait pas violence pour faire des mises-à-jour, y a plus personne. Et évidemment, c'est pas très rentable, donc ce n'est pas fait.
Maintenant, est-ce que le fait d'avoir un standard matériel OS changerait quelque chose, j'en sais trop rien…
Le 29/04/2024 à 16h06
Je trouve que l'idée de cloisonner complètement jusqu'à l'applicatif est plus sécurisée.
Le 29/04/2024 à 17h18
C'est partiellement vrai en fait : l'application en question (déjà disponible sur un autre profil) va juste se débloquer pour le profil courant (dis autrement, rien ne va être téléchargé).
Le 29/04/2024 à 15h50
Le 29/04/2024 à 17h58
Le 29/04/2024 à 20h19
Entre les gens qui s'en balec, ceux qui ne réalisent pas, et ceux qui rendent les clefs puis, 5min plus tard se disent "ho mince, j'en encore oublié" 🤣, ça semble arriver fréquemment.
Bon, pour Android TV, si j'ai bien compris le souci, c'est que Chrome n'est pas prévu pour. Mais, comme expliqué, il est difficile à installer. Alors, ne soyons pas hypocrite en dénonçant cette possibilité. C'est un peu gonflé je trouve...
Modifié le 29/04/2024 à 19h17
??
Mon smartphone Android ne connais aucune coordonnées bancaires, et j'ai eu accès au Play store pour télécharger Klondike (je suis un hardcore gamer ).
J'ai désactivé le NFC et désinstallé le Wallet; c'est pour ça ?
Modifié le 29/04/2024 à 19h25
Donc je ne comprends pas : Qu'il faille un compte Google pour utiliser le Play Store, oui, une carte bancaire associée, non.
Le 29/04/2024 à 23h01
Le 30/04/2024 à 10h26
Le 30/04/2024 à 10h48
Le 30/04/2024 à 00h54
C'est marrant tout de même, c'est ce que l'on reprochait au store d'Apple il y a une décennie.