Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Hack et entrez! Les portes de garage "sécurisées" que n'importe qui peut ouvrir de n'importe où - ce que vous devez savoir

Republié par Platon
Republié par Platon

Date :

Vues: 75
by Paul Canard

Le chercheur en cybersécurité Sam Sabetan a rendu public hier révélations sur l'insécurité contre le fournisseur IoT Nexx, qui vend une gamme d'appareils «intelligents», notamment des ouvre-portes, des alarmes domestiques et des prises d'alimentation commutables à distance.

Selon Sabetan, il a signalé les bogues à Nexx en janvier 2023, mais en vain.

Il a donc décidé de tirer ouvertement la sonnette d'alarme, nous sommes maintenant en avril 2023.

L'avertissement a été considéré comme suffisamment sérieux par les pouvoirs en place pour que même les noms retentissants et répétitifs Agence américaine de cybersécurité et de sécurité des infrastructuresou CISA, a publié un avis formel sur les défauts.

Sabetan n'a délibérément pas publié de détails précis sur les bogues, ni fourni de code de preuve de concept qui permettrait à n'importe qui de commencer à pirater des appareils Nexx sans déjà savoir ce qu'il faisait.

Mais à partir d'une brève vidéo expurgée de la vie privée fournie par Sabetan pour prouver son point de vue, et les détails des bogues numérotés CVE répertoriés par CISA, il est assez facile de comprendre comment les failles ont probablement été programmées dans les appareils de Nexx.

Plus précisément, il est peut-être facile de voir ce qui n'a pas été programmé dans le système de Nexx, laissant ainsi la porte grande ouverte aux attaquants.

Aucun mot de passe requis

Cinq numéros CVE ont été attribué aux bogues (CVE-2023-1748 à CVE-2023-1752 inclus), qui couvrent un certain nombre d'omissions de cybersécurité, y compris apparemment les trois erreurs de sécurité interconnectées suivantes :

  • Identifiants codés en dur. Un code d'accès qui peut être récupéré à partir du micrologiciel Nexx permet à un attaquant d'espionner les propres serveurs cloud de Nexx et de récupérer des messages de commande et de contrôle entre les utilisateurs et leurs appareils. Cela inclut le soi-disant identifiant de l'appareil – une chaîne unique attribuée à chaque appareil. Les données du message incluent apparemment également l'adresse e-mail de l'utilisateur, ainsi que le nom et l'initiale utilisés pour enregistrer l'appareil. Il existe donc également un problème de confidentialité mineur mais important.
  • Authentification à facteur zéro. Bien que les identifiants d'appareils ne soient pas destinés à être publiés publiquement de la même manière que, par exemple, les adresses e-mail ou les identifiants Twitter, ils ne sont pas destinés à servir de jetons d'authentification ou de mots de passe. Mais les attaquants qui connaissent l'ID de votre appareil peuvent l'utiliser pour contrôler cet appareil, sans fournir aucune sorte de mot de passe ou de preuve cryptographique supplémentaire qu'ils sont autorisés à y accéder.
  • Aucune protection contre les attaques par rejeu. Une fois que vous savez à quoi ressemble un message de commande et de contrôle pour votre propre appareil (ou celui de quelqu'un d'autre), vous pouvez utiliser les mêmes données pour répéter la demande. Si vous pouvez ouvrir la porte de mon garage, éteindre mon alarme ou éteindre et rallumer mes prises "intelligentes" aujourd'hui, il semble que vous ayez déjà toutes les données réseau dont vous avez besoin pour refaire encore et encore la même chose, un peu comme ces télécommandes de voiture infrarouges anciennes et peu sûres que vous pouvez enregistrer et rejouer à volonté.

Regardez, écoutez et apprenez

Sabetan a utilisé les identifiants d'accès câblés du micrologiciel de Nexx pour surveiller le trafic réseau dans le système cloud de Nexx tout en faisant fonctionner sa propre porte de garage :

C'est assez raisonnable, même si les identifiants d'accès enterrés dans le firmware n'ont pas été officiellement publiés, étant donné que son intention semble avoir été de déterminer à quel point les échanges de données étaient bien sécurisés (et soucieux de la confidentialité) entre l'application sur son téléphone et Nexx, et entre Nexx et sa porte de garage.

C'est ainsi qu'il a vite découvert que :

  • Le service de "courtage" cloud incluait dans son trafic des données qui n'étaient pas nécessaires à l'activité d'ouverture et de fermeture de la porte, telles que les adresses e-mail, les noms de famille et les initiales.
  • Le trafic de requête pourrait être directement rejoué dans le service cloud, et répétait la même action qu'avant, comme ouvrir ou fermer la porte.
  • Les données du réseau ont révélé le trafic d'autres utilisateurs qui interagissaient avec leurs appareils en même temps, suggérant que tous les appareils utilisaient toujours la même clé d'accès pour tout leur trafic, et donc que n'importe qui pouvait espionner tout le monde.

Notez qu'un attaquant n'aurait pas besoin de savoir où vous vivez pour abuser de ces insécurités, mais s'il pouvait lier votre adresse e-mail à votre adresse physique, il pourrait s'arranger pour être présent au moment où il ouvrirait votre porte de garage, ou il pourrait attendre pour éteindre votre alarme jusqu'à ce qu'ils soient dans votre allée, et profiter ainsi de l'occasion pour cambrioler votre propriété.

Les attaquants pourraient ouvrir votre porte de garage sans savoir ni se soucier de votre lieu de résidence, et ainsi vous exposer à des voleurs opportunistes dans votre région… juste « pour le lulz », en quelque sorte.

Que faire?

  • Si vous avez un produit Nexx "intelligent", contactez directement l'entreprise pour obtenir des conseils sur ce qu'il prévoit de faire ensuite, et pour quand.
  • Faites fonctionner vos appareils directement, et non via l'application cloud Nexx, jusqu'à ce que des correctifs soient disponibles, en supposant que cela soit possible pour les appareils que vous possédez. De cette façon, vous éviterez d'échanger des données de commande et de contrôle reniflables avec les serveurs cloud Nexx.
  • Si vous êtes un programmeur, ne prenez pas de raccourcis de sécurité comme celui-ci. Les mots de passe ou codes d'accès codés en dur étaient inacceptables en 1993, et ils le sont encore plus maintenant en 2023. Apprenez à utiliser la cryptographie à clé publique pour authentifier chaque appareil de manière unique et apprenez à utiliser des clés de session éphémères (jetables) afin que les données de chaque interaction de commande et de contrôle sont autonomes en termes cryptographiques.
  • Si vous êtes un fournisseur, n'ignorez pas les tentatives de bonne foi des chercheurs de vous signaler les problèmes. D'après ce que nous pouvons voir dans cette affaire, Sabetan a légalement sondé le code de l'entreprise et a déterminé son état de préparation en matière de sécurité parce qu'il était un client. En trouvant les défauts, il a tenté d'alerter le vendeur pour qu'il s'aide lui-même, pour aider le vendeur et pour aider tout le monde.

Personne n'aime être confronté à des accusations selon lesquelles son code de programmation n'était pas à la hauteur de la cybersécurité, ou que le code de son serveur back-end contenait des bugs dangereux...

… mais lorsque la preuve vient de quelqu'un qui vous le dit pour votre propre bien et qui est prêt à vous donner un peu de temps pour résoudre les problèmes avant de rendre public, pourquoi refuser l'opportunité ?

Après tout, les escrocs consacrent le même genre d'efforts à trouver des bogues comme celui-ci, puis n'en parlent à personne d'autre qu'eux-mêmes ou d'autres escrocs.

En ignorant les chercheurs et les clients légitimes qui essaient volontairement de vous avertir des problèmes, vous faites le jeu des cybercriminels qui trouvent des bogues et n'en soufflent mot.

Comme le dit la vieille blague, "Le 'S' dans IoT signifie sécurité", et c'est une situation regrettable et tout à fait évitable que nous devons changer de toute urgence.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.