24h/24 et 6j/7 : Vous souhaitez rester informé ? Rejoignez les fils d'actualités sur Facebook Rejoignez notre page Facebook.
Les consommateurs qui achètent des aspirateurs intelligents équipés de caméras connectées à Internet s’exposent à des risques de sécurité inutiles, car il est possible de pirater les appareils et de les contrôler à distance, a déclaré une société de sécurité israélienne.
Les chercheurs de Checkmarx ont étudié l’aspirateur intelligent Ironpie M6 de Trifo, qui se connecte à Internet via WiFi et peut être contrôlé à distance pour passer l’aspirateur, ainsi que la visualisation de flux vidéo à distance. Dans son matériel de marketing, Trifo affirme de l’aspirateur: « Je garde votre maison à l’abri de la saleté, de la poussière, des miettes, du sable et plus encore; et j’utilise également mon système de vision avancé pour empêcher les intrus d’entrer. Je suis toujours en alerte et ne dors jamais au travail . « 
Cependant, Checkmarx a trouvé un certain nombre de vulnérabilités importantes et de mauvaises pratiques de codage. « Les problèmes de sécurité liés à la connexion de caméras vidéo à Internet devraient être évidents, et c’était l’un des facteurs de motivation de cette recherche », a déclaré la société dans un article de blog. 
L’Ironpie comprend trois composants principaux: le vide, l’application pour téléphone mobile Android et les serveurs principaux qui prennent en charge le système. Checkmarx a trouvé des vulnérabilités dans certains de ces domaines.
L’application utilisée pour faire fonctionner l’aspirateur à distance, appelée Trifo Home, est « principalement sécurisée », selon les chercheurs, à l’exception d’un processus important: la procédure de mise à jour. Ici, l’équipe a constaté que l’application était mise à jour de manière non standard. Au lieu de mettre à jour via le Google Play Store, il utilise une requête HTTP pour interroger le serveur de mise à jour.  
« Un attaquant peut surveiller et modifier facilement la demande en transit et forcer l’application à se mettre à jour vers une version malveillante – contrôlée par un attaquant », a noté Checkmarx. 
Des faiblesses ont également été identifiées dans la programmation qui connecte le vide aux serveurs et à l’application, car l’Ironpie se connecte aux serveurs MQTT à l’aide d’une connexion non cryptée, ne devenant cryptée que lorsqu’elle se connecte. Cet écart de chiffrement permet aux pirates de calculer n’importe quel ID client dans le système, qui peut ensuite être utilisé pour pirater le système ou pour prendre le contrôle de tout vide sur le système. 
Cette faiblesse ouvre les consommateurs à la possibilité que le flux vidéo sur leur aspirateur soit accessible à distance, permettant aux pirates une vue à l’intérieur de leur maison.
« Les pirates peuvent facilement obtenir des enregistrements vidéo, cartographier l’emplacement de la maison et obtenir les données de cartographie de la maison effectuées par le robot. Au bureau, l’aspirateur peut être utilisé pour obtenir des photos et des vidéos de l’emplacement et de la carte de la pièce », a déclaré Checkmarx. dans un rapport. 
Les chercheurs ont contacté Trifo de leurs conclusions dès que les vulnérabilités ont été identifiées, ont-ils dit, mais n’ont pas reçu de réponse de la société. 
« Pour autant que l’équipe de recherche de Checkmarx le sache, les vulnérabilités existent toujours dans l’écosystème Trifo Ironpie », a indiqué la société. En conséquence, ils n’ont pas publié de rapport détaillé sur leurs conclusions, bien qu’ils aient déclaré qu’ils le feraient une fois les vulnérabilités corrigées. 
Tout en reconnaissant que les consommateurs ont tendance à opter pour la commodité plutôt que la sécurité, les chercheurs ont noté que les faiblesses de Trifo représentaient « de graves erreurs quant à une position de sécurité sérieuse sur un produit de sécurité autoproclamé ». 
Erez Yalon, responsable de la recherche en sécurité chez Checkmarx, a déclaré: « Ce type d’activité de recherche fait partie des efforts continus de Checkmarx pour conduire les changements nécessaires dans les pratiques de sécurité des logiciels chez les fournisseurs qui fabriquent des appareils IoT basés sur le consommateur, tout en apportant plus de sensibilisation à la sécurité parmi les consommateurs. qui les achètent et les utilisent. La protection de la vie privée des consommateurs et des organisations doit être une priorité pour nous tous dans un monde de plus en plus connecté. « 
[signoff]