Sécurité : Les API REST de votre Google Home ne sont pas protégées !
Les API REST de votre Google Home, non documentées par Google, sont accessibles sur votre réseau local au travers du port 8008 de votre Google Home.
Malheureusement, Google n'a pas prévu de mot de passe pour protéger les API de cet objet connecté ... Des hackers se sont donc amusés à analyser les trames réseau reçues et émises par leur Google Home et ont produit une rétro-documentation des API, cette documentation est disponible sur GitHub.
On y retrouve de nombreux services pouvant être exploités par un autre objet malicieux sur votre réseau.
Assistant tasks
- Do Not Disturb
- Accessibility
- Get alarms and timers
- Alarms and timers volume
- Set equalizer settings
Connectivity
- Get configured networks
- Connect to Wifi
- Forget Wifi network
- Get bluetooth bonded devices
- Forget bluetooth bonded device
- Set bluetooth discoverable
- Connect bluetooth device
Device Info
- Get app device id
- Get offers
- Get device info
- Get supported timezones
- Get supported locales
Device Settings
- Set device options
- Set night mode settings
- Reboot the device
- Factory reset device
L'URL suivante vous retournera par exemple toute la configuration de votre Google Home :
L'URL la plus intéressante reste la réinitialisation d'usine qui est disponible au travers d'un simple POST HTTP.