Le trou de sécurité permettait de visualiser les photos de profil et les noms
Google a temporairement désactivé la possibilité de partager Google Photos sur Android TV, après la découverte d’un bogue révélant des informations relatives à des centaines de comptes.
L’arrêt signifie que, pour l’instant, ceux qui disposent d’un téléviseur intelligent fonctionnant sur le logiciel de Google ne pourront pas définir leurs photos Google comme économiseur d’écran ou les regarder via l’assistant Google.
Repérée pour la première fois par un utilisateur de Twitter avec un téléviseur Vu, la violation apparente semble permettre à ceux qui vérifient la section « Comptes liés » de leur téléviseur dans l’application Google Home de voir également tous ceux qui se sont synchronisés avec le même modèle. Le même problème a également été répliqué sur les téléviseurs iFFalcon par un autre utilisateur de Twitter, mais n’a pas été trouvé sur un autre appareil Android TV, la Xiaomi Mi Box 3.
Lorsque j’accède à mon Vu Android TV via l’application @Google Home et que je vérifie les comptes liés, il répertorie essentiellement ce que j’imagine être chaque personne qui possède ce téléviseur. C’est une incompétence choquante. pic.twitter.com/5DGwrArsco
– Prashanth (@wothadei) 3 mars 2019
Donc, pour l’instant, on ne sait pas à quel point le bogue est répandu dans la famille Android TV, ni même ce qui a rendu disponibles les images de profil, les noms de compte et les informations. Heureusement pour les personnes concernées, leurs photos plus larges n’ont pas pu être vues par la surveillance. Cependant, Google a toujours répondu en désactivant la fonctionnalité jusqu’à ce que le problème soit résolu.
Dans une déclaration donnée à Android Police, Google a déclaré : « Nous prenons la confidentialité de nos utilisateurs très au sérieux. Pendant que nous enquêtons sur ce bogue, nous avons désactivé la possibilité de diffuser à distance via l’assistant Google ou d’afficher des photos de Google Photos sur des appareils Android TV.
La société n’a pas indiqué quand la fonctionnalité reviendrait sur la plate-forme, bien qu’il soit juste d’estimer qu’il ne faudra pas longtemps avant que cette faille de sécurité ne soit corrigée. Heureusement, à cette occasion, il s’agit d’une brèche qui ne semble pas trop importante ni généralisée.