Au cours de la semaine, plusieurs nouvelles ont été reprises sur le thème «ce qui ne va toujours pas avec l'IoT» (numéros précédents:
1 ,
2 ,
3 ). Des vulnérabilités ont été détectées dans l'interface Web des trackers GPS, dans les caméras vidéo réseau D-Link et appareils similaires de différents fabricants chinois, et même dans les panneaux LCD avec connexion sans fil, généralement utilisés pour les présentations au bureau.
Commençons par le problème affectant le nombre maximum d'appareils: caméscopes, sonnettes télécommandées et babyphones de nombreux fabricants chinois. Le chercheur Paul Marrapeze a découvert (
nouvelles , bref
rapport ) que l'accès à ces appareils peut être obtenu sans autorisation en triant les numéros de série, qui sont compilés à l'aide d'un algorithme simple.
Tous les appareils partagent une application de contrôle à distance commune appelée iLnkP2P. Lors de la première connexion, le propriétaire de l'appareil IoT doit scanner le code-barres imprimé sur le boîtier ou saisir manuellement le numéro de série. En conséquence, les attaquants peuvent facilement analyser toute la gamme des numéros de série, trouver des appareils qui fonctionnent et y accéder en utilisant le login et le mot de passe par défaut.
Même si le propriétaire change le mot de passe, dans certains cas, il peut être intercepté, car certains des appareils vulnérables n'utilisent pas le cryptage des données. Selon le chercheur, le cryptage des données est revendiqué pour certains appareils, bien qu'en fait les informations soient transmises en texte clair. Au total, 15 types d'appareils ont été identifiés, au moins six fabricants différents. Il est peu probable qu'une liste complète des appareils vulnérables soit compilée; il est plus facile de les identifier par le nom de l'application et une partie du numéro de série.
Le développeur de l'application n'a pas répondu aux demandes du chercheur, et il est peu probable qu'il soit en mesure de fermer complètement cette vulnérabilité: il devra casser le mécanisme d'autorisation pour les nouveaux appareils. De plus, le site du développeur du logiciel semble être piraté, il y a un script qui redirige les visiteurs vers le terrain de jeu chinois. Seul le blocage du transfert de données via le port UDP 32100, via lequel les appareils accèdent à Internet, sera utile.
L'auteur d'une autre «étude» a clairement des problèmes avec une approche éthique pour trouver les vulnérabilités. Au lieu d'avertir le vendeur, un pirate nommé L&M a piraté des dizaines de milliers de profils de services de géolocalisation et divulgué des informations aux médias (
actualités ,
article original sur la carte mère). Il s'agit d'un service Web pour les trackers GPS ProTrack et iTrack.
Ces trackers sont généralement installés dans les voitures et vous permettent de suivre à distance les mouvements. Dans certains cas, des fonctionnalités avancées sont possibles, telles que le démarrage et l'arrêt du moteur. Pour accéder aux données et contrôler les applications pour smartphones sont utilisées. Lors de l'exploration des applications, L&M a constaté que par défaut, les clients de service reçoivent le mot de passe 123456, et tout le monde ne le change pas.
En conséquence, il est devenu possible d'accéder aux données sur l'emplacement de l'appareil, le vrai nom du client, et pour certains appareils, il était possible d'arrêter le moteur à distance si la voiture était debout ou se déplaçait à une vitesse pouvant atteindre 20 kilomètres par heure. La carte mère a réussi à contacter les quatre propriétaires des appareils et à confirmer l'authenticité des données reçues sans autorisation. Une vulnérabilité intéressante et potentiellement dangereuse, mais en tout cas, les études de sécurité sont menées un peu différemment.
Ajoutez l'étude ESET (
actualités ,
rapport d' entreprise) sur la vulnérabilité des caméras IP D-Link DCS-2132L à la liste des problèmes IoT. Les experts ont constaté qu'une partie importante des données entre l'appareil photo et l'application de contrôle est transmise sans cryptage. Cela permet d'intercepter des données vidéo, mais uniquement avec un script Man-In-The-Middle ou avec accès à un réseau local. Dans ce dernier cas, il est possible de remplacer le firmware de l'appareil.
Enfin, les chercheurs de Tenable Security ont trouvé (
nouvelles ,
rapport ) 15 vulnérabilités dans les écrans sans fil populaires de plusieurs fabricants, dont Crestron AirMedia et Barco wePresent. Tous les moniteurs concernés utilisent (presque) le même code pour connecter les ordinateurs sans fil. Ces appareils, d'une part, ne nécessitent pas de fils pour se connecter à un ordinateur et, d'autre part, peuvent être contrôlés via l'interface Web. Des vulnérabilités découvertes lors de l'examen de l'appareil Crestron AM-100 permettent un accès complet au moniteur sans fil.
Ce problème est intéressant dans le contexte du scénario d'utilisation de tels panneaux: ils sont installés dans des bureaux, peuvent avoir accès au réseau local de l'entreprise et en même temps - un accès simplifié au panneau lui-même pour les invités. Des paramètres de moniteur inexacts peuvent entraîner une grave violation de la protection d'un réseau informatique. Selon les chercheurs, les vulnérabilités ont été partiellement couvertes par une mise à jour logicielle.
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.