Les appareils Android TV reçoivent une mise à jour pour résoudre un problème de confidentialité lié à Gmail. Fondamentalement, ceux qui ont un accès physique à votre Android TV pourraient contrôler votre compte Gmail. Cela entraîne davantage de risques, comme demander des changements de mot de passe sur d'autres services.

Android TV n'est pas un système d'exploitation différent d'Android que l'on connaît sur les téléphones et les tablettes. Il s'agit plutôt d'Android avec un « lanceur » qui adapte l'interface utilisateur aux écrans de télévision pour une navigation plus confortable. Cependant, le cœur reste Android. Vous pouvez le trouver soit préinstallé sur certains téléviseurs, soit sur des clés/box TV. Concernant ces derniers, les appareils comme Chromecast avec Google TV ou NVIDIA Shield TV sont parmi les plus populaires.

Android TV ne propose pas toutes les méthodes de verrouillage Android

Android TV conserve les comportements et les possibilités héritées de la version pour téléphones. Premièrement, il vous permet d’installer des APK en dehors du Play Store. De plus, une fois connecté avec votre compte Google, toutes les applications Google auront accès à cette connexion. Autrement dit, une fois que vous accédez à votre Android TV avec votre compte Google, il suffit d'installer toutes les applications ou services de l'entreprise pour avoir accès à tout votre contenu. Il ne vous sera pas nécessaire de saisir à nouveau l’e-mail et le mot de passe de chaque application.

Ce comportement est normal et pratique pour les appareils mobiles. Après tout, vous l’emportez toujours avec vous et ils disposent de plusieurs méthodes de verrouillage. En revanche, les appareils Android TV se trouvent généralement au même endroit. De plus, ils ne proposent pas tous les systèmes de verrouillage disponibles sur les smartphones.

La chose la plus similaire que vous trouverez sur Android TV est l’option « profil restreint ». Cela vous permet de bloquer l'accès à certaines applications spécifiques après un code PIN. Mais, comme Google l'indique sur sa page d'assistance, cela ne fonctionne que sur «applications tierces qui n'utilisent pas la connexion Google ». Vous ne pourrez donc pas bloquer l'accès aux applications Google ou aux applications tierces qui utilisent vos informations d'identification Google.

Voici comment des attaquants pourraient accéder à votre compte Gmail depuis votre Android TV

Maintenant, vous devriez avoir une idée du problème de sécurité. L’attaquant potentiel doit avoir un accès physique à votre appareil Android TV. Si vous vous êtes connecté avec votre compte Google sur cet Android TV, l'attaquant aura accès aux données de toutes vos applications Google. Cela inclut Gmail, qui est assez dangereux. En accédant à Gmail, l'attaquant peut demander des modifications de mot de passe à d'autres services. Seuls ceux pour lesquels vous avez mis en place un système 2FA seront en sécurité.

Android TV rend l'installation d'APK en dehors du Play Store un peu plus compliquée que sur les téléphones Android. Cependant, ce n’est toujours pas un processus si difficile. Déverrouillez simplement les options de développement et vous pourrez l'activer à partir de là.

L’installation d’APK externes est nécessaire pour l’attaquant car Gmail ne dispose pas d’application pour Android TV. Puisqu'il existe des navigateurs Web pour Android TV, l'attaquant pourrait simplement télécharger l'APK Gmail à partir d'un site Web.

Après l'avoir téléchargé et installé, l'attaquant pourra accéder directement à vos e-mails sans avoir besoin d'informations d'identification. N’étant pas adaptée à Android TV, l’application Gmail aura besoin d’un clavier et d’une souris pour y naviguer. Mais ce sera le seul obstacle auquel ils seront confrontés.

Le correctif est déjà en cours de déploiement

Dans une déclaration à 404 Media, un porte-parole de Google a déclaré : «La plupart des appareils Google TV exécutant les dernières versions du logiciel n'autorisent déjà pas ce comportement décrit. Nous sommes en train de déployer un correctif sur le reste des appareils.« De votre côté, vous pouvez vérifier manuellement que votre appareil est mis à jour avec le dernier logiciel disponible. De plus, le bon sens est votre meilleur allié pour éviter les pratiques dangereuses, comme vous connecter avec votre compte Google sur des appareils Android TV tiers.

A lire également