Android TV a une grosse faille qui permet de lire vos emails un peu trop facilement
Android TV est un système d'exploitation largement déployé dans les foyers, des téléviseurs de certaines marques (Sony, Philips, etc.) aux Box de certains opérateurs — pas chez Orange — en passant par de nombreux boîtiers TV. Et le système a une faille un peu étonnante qui peut poser de gros soucis : si une personne a un accès physique à l'appareil, elle peut se connecter sur un compte Gmail sans connaître son mot de passe.
Le problème est simple : Android TV ne propose pas de navigateur par défaut, mais il est possible d'en ajouter un en bidouillant un peu. Une vidéo montre une méthode, qui consiste à télécharger un navigateur (TV Bro) pour aller ensuite installer directement Chrome depuis un fichier APK (le nom donné aux applications installables sans passer par un magasin d'application). Et une fois Chrome installé, il suffit de se connecter sur Gmail ou Google Drive pour éventuellement avoir accès aux données du propriétaire de l'appareil.
Ce n'est pas automatique, mais potentiellement très courant : si vous êtes connectés sur un compte YouTube, le système vous connecte aussi sur les autres services de Google. Cette fonction est normalement invisible, faute de navigateur, mais une fois Chrome installé, les données liées au compte YouTube sont accessibles sans mot de passe. La faille nécessite donc un accès physique pour l'installation mais aussi pour l'accès à Chrome. En effet, le navigateur n'est pas prévu pour une navigation à la télécommande, mais il est généralement possible de connecter un clavier et une souris aux appareils sous Android TV, que ce soit en Bluetooth ou en USB.
Comme l'indique 404 Media, Google a d'abord indiqué que c'était le comportement attendu (It's not a bug, it's a feature), avant d'indiquer que les versions récentes d'Android TV (sans plus de précisions) ne permettaient pas d'exploiter la faille et qu'une mise à jour était en train d'être poussée. Elle nécessite par contre a priori que le constructeur de l'appareil effectue un suivi de son système d'exploitation, ce qui n'est pas réellement la règle dans le monde Android.
Reste que si la faille de sécurité peut avoir de fâcheuses conséquences, le fait qu'elle nécessite un accès physique limite tout de même en partie les risques. Mais dans le doute, surtout si votre téléviseur est dans un endroit public, nous vous conseillons de vous déconnecter de votre compte YouTube si vous avez des données sensibles sur le compte Google associé ou d'employer un compte dédié uniquement à cet usage.
Faut pas laisser des invités louches trop longtemps seuls devant la télé. 😅
C’est prévu mais y’a déjà un correctif haha
J’ai la Freebox Pop et son Player sous Android TV. Je n’aime pas ce player ! Heureusement que je peux m’en passer avec l’application OQEE de ma TV LG. Du coup, je me demande pourquoi je l’ai. Je crois que je vais le prêter à ma fille qui est sur mon réseau. Ça lui fera une TV connectée pour sa chambre. Pas de lecture d’e-mail sur téléviseur, ça laisse à l’abris, correctif ou pas.
Faut quand même être motivé !
“ qui consiste à télécharger un navigateur (TV Bro) pour aller ensuite installer directement Chrome depuis un fichier APK”
Le fichier APK n’arrive pas sur un plateau en argent.
Il faut digger tout cela
Pourquoi parler d'un compte youtube ? Alors que sur Android TV, normalement on se connecte a son compte Google en premier 🤔
Le compte Google sert notamment à se connecter à YouTube, propriété de... Google.
@Adodane
"Pourquoi parler d'un compte youtube ? Alors que sur Android TV, normalement on se connecte a son compte Google en premier 🤔"
effectivement c'est ca le problème, quand on lie son compte google, on a souvent des difficultés à déterminer à quoi on donne accès, et le dialogue qui demande de confirmer la demande d'accès est nettement insuffisant pour indiquer clairement ce que l'appli pourra faire (la description est bien trop générique). par ailleurs, c'est une information, avec l'autorisation donnée en bloc, pas de possibilité de choisir.
c'était peut-etre acceptable quand il y avait peu de services, mais avec tous les services qu'il y a maintenant, ca devient un vrai risque : en ayant mis mon compte google sur la TV, n'importe qui peut acheter n'importe quoi ...
Le plaisir des TV connectées…
@421
Du connecté tout court 🙂
J’ai une Sony hdg, gâchée par android tv.
J’ai supprimé les fichiers vitaux d’android tv un par un, et depuis quel plaisir de l’utiliser !!!
Android tv est une daube sans nom sur tv, pas sur leur dongle, au moins il y a un suivi régulier
Ca peut être gênant quand un device sous Android TV équipe un logement loué sur Airbnb ou consort. Le locataire pourrait alors accéder aux mails du propriétaire du logement qui aurait configuré son device avec son compte Gmail perso...
Pour avoir accès à la faille il faut avoir installé un navigateur. Le propriétaire doit pouvoir empêcher l'installation d'une application par quelqu'un d'extérieur et donc la faille.
Apple TV et projecteur, pas de problème!
@Pierre Dandumont.
Android TV semble être devenu l’OS ancien relayé depuis par Google TV qui peut déjà disposer d’un navigateur web installé, comme constaté sur les téléviseurs TCL…
Il eut été intéressant de préciser dans l’article si cet aspect dommageable d’Android TV s’est trouvé répercuté sur Google TV, ou non ?