Des chercheurs révèlent la vulnérabilité des babyphones et autres objets connectés

Des Chercheurs Révèlent La Vulnérabilité Des Babyphones Et Autres Objets

Pourquoi c’est important : une vulnérabilité de sécurité affectant une plate-forme logicielle qui connecte des millions d’appareils Internet des objets (IoT), y compris des moniteurs pour bébé et des caméras de sécurité, a été rendue publique aujourd’hui. Bien qu’une mise à jour du micrologiciel ait corrigé cette vulnérabilité en 2018, il n’est pas clair si toutes les entreprises vendant les produits concernés l’ont implémentée. Jusqu’à présent, il n’y a aucune preuve que quelqu’un ait réellement utilisé l’exploit dans une attaque.

Les chercheurs de la société de sécurité Mandiant ont découvert l’exploit, qui affecte la sécurité de la plate-forme Kalay de Thoughtek, à la fin de l’année dernière. La société a décidé de le divulguer publiquement aujourd’hui en collaboration avec la Cybersecurity and Infrastructure Security Agency du Department of Homeland Security.

La plate-forme Kalay est un SDK qui permet aux entreprises qui fabriquent des appareils Internet des objets (IoT) de se connecter à des applications mobiles tout en maintenant les connexions sécurisées. C’est ce qui permet à quelqu’un de contrôler sa caméra de sécurité domestique ou son babyphone avec une application pour smartphone.

« Vous intégrez Kalay, et c’est la colle et les fonctionnalités dont ces appareils intelligents ont besoin », a déclaré Jake Valletta, directeur de Mandiant. « Un attaquant pourrait se connecter à un appareil à volonté, récupérer l’audio et la vidéo, et utiliser l’API distante pour ensuite faire des choses comme déclencher une mise à jour du micrologiciel, modifier l’angle de panoramique d’une caméra ou redémarrer l’appareil. Et l’utilisateur ne le fait pas. sachez que tout ne va pas. »

Des chercheurs revelent la vulnerabilite des babyphones et autres objets

Supposons qu’un attaquant apprenne l’ID d’un appareil spécifique sur la plate-forme Kalay via l’ingénierie sociale ou en recherchant le fabricant de l’appareil. Dans ce cas, ils peuvent acquérir le nom d’utilisateur et le mot de passe définis par le fabricant pour l’appareil, puis le pirater et même l’utiliser pour se connecter à d’autres appareils du réseau d’un utilisateur. Ils pourraient prendre le contrôle total d’une caméra, l’éteindre ou installer des logiciels malveillants sur celle-ci et sur d’autres appareils connectés. Lors de l’attaque initiale, l’utilisateur ne subirait que brièvement un léger décalage de connexion. Si l’utilisateur réinitialise complètement son équipement, l’attaquant peut simplement relancer l’exploit avec les informations d’identification de sécurité du fabricant.

Thoughtek note que la version 3.1.10 de son SDK, sortie en 2018, a corrigé la vulnérabilité. Cependant, il n’appartient pas aux utilisateurs finaux d’appliquer ces mises à jour directement, mais plutôt aux fabricants et aux entreprises IoT qui achètent des appareils auprès de ces fabricants.

Alors que l’Internet des objets continue de croître, nous pouvons nous attendre à ce que les chercheurs découvrent davantage de vulnérabilités comme celles-ci. Il y a deux mois, les analystes de sécurité ont découvert un autre exploit dans le SDK de Kalay affectant les versions 3.1.5 et antérieures. En avril, des chercheurs ont découvert neuf vulnérabilités dans les piles TCP/IP de centaines de millions d’appareils IoT.