La prochaine double conférence Black Hat / DEF CON s'est tenue à Las Vegas la semaine dernière. Si le premier événement évolue en douceur vers une rivalité commerciale, le second est toujours la meilleure conférence pour les hackers (principalement dans le bon sens du terme), pour qui trouver des points faibles dans le matériel et les logiciels reste avant tout un art, et seulement après cela - un moyen de gagner de l'argent pour la vie. Dans un résumé basé sur ces deux conférences l'année dernière, nous avons
parlé des vulnérabilités des processeurs VIA C3 obsolètes, des attaques de la chaîne d'approvisionnement sur les ordinateurs Apple et du piratage d'un adaptateur SD Wi-Fi inutile.
Le programme de cette année comprenait des attaques contre les imprimantes, les téléphones de bureau et les tablettes pour enfants, un contournement demi-rond du système de reconnaissance faciale d'Apple FaceID et (qui aurait pensé) un ransomware-ransomware dans l'appareil photo Canon. Plus deux, disons, un projet artistique: des câbles pour l'iPhone avec une porte dérobée et tricher sur un vélo d'appartement intelligent. Enfin, une étude intéressante sur l'utilisation du RGPD pour voler les informations personnelles d'une autre personne. Attendez, mais le RGPD est-il destiné à protéger les données personnelles? Eh bien, nous le pensions aussi.
Piratage d'imprimantes, de téléphones de bureau et de tablettes pour enfants
Commençons par une étude relativement ennuyeuse. Les experts du groupe NCC ont
découvert de nombreuses vulnérabilités dans les imprimantes de bureau fabriquées par HP, Ricoh, Xerox, Lexmark, Kyocera et Brother. L'ampleur du problème peut être évaluée par l'exemple d'un
rapport pour les imprimantes HP: il existe des vulnérabilités dans le protocole d'impression réseau IPP, des débordements de tampon dans le serveur Web intégré et des erreurs entraînant des attaques de script intersites. Les vulnérabilités les plus dangereuses vous permettent soit d'organiser une attaque DoS, soit d'exécuter du code arbitraire aux conséquences incompréhensibles.
Un
incident s'est produit l'an dernier montrant ce qui arrive aux imprimantes a) non protégées et b) accessibles depuis Internet. Sur 50 000 appareils, un «activiste» anonyme a imprimé un appel pour s'abonner à un odieux YouTube. Dans l'étude NCC Group, il y a un soupçon d'attaques
moins stupides et plus dangereuses, lorsque l'imprimante peut devenir un point d'entrée pour une nouvelle attaque sur le réseau d'entreprise.
Mais que faire si vous n'utilisez pas d'imprimantes, mais des téléphones de bureau? Cette option a été
étudiée par un représentant McAfee. Il a trouvé un firmware vieux de dix ans dans les téléphones VoIP Avaya. Entre autres, le client dhclient utilisé dans les téléphones avait une vulnérabilité connue
depuis 2009 . Ce problème peut provoquer des débordements de tampon si le paramètre de masque de sous-réseau est trop long pour être transmis au client DHCP et, là encore, il existe un danger théorique d'exécution de code arbitraire. L'approche «travailler - ne pas toucher» n'est donc pas applicable même dans le cas d'appareils relativement simples comme un téléphone de bureau. Bien que la vulnérabilité de dhclient soit exploitée si vous avez accès au réseau local, cela vaut toujours la peine de lancer le correctif sur les postes téléphoniques. Besoin de toucher!
Une étude des tablettes pour enfants LeapFrog LeadPad Ultimate a révélé des vulnérabilités infantiles. Les experts de Chekmarx ont montré comment localiser des appareils à l'aide d'outils facilement disponibles et intercepter le trafic. Le problème le plus grave est causé par l'application supplémentaire Pet Chat, qui permet aux parents de communiquer avec les enfants (ou les enfants de communiquer entre eux) en utilisant un ensemble de phrases «câblées» dans la tablette. Pour établir une connexion, la tablette crée un point d'accès ouvert appelé Pet Chat. La géolocalisation d'un certain nombre de tablettes a été trouvée dans des bases de données ouvertes de points d'accès Wi-Fi. L'autorisation de la paire «smartphone du parent - tablette de l'enfant» n'est pas fournie, donc toute personne à portée du réseau sans fil peut se connecter à l'appareil. Il faut rendre hommage au constructeur: le problème a été rapidement résolu en supprimant l'application de l'accès public. Oh oui, en tout cas, la tablette a communiqué avec les serveurs du constructeur via HTTP, ce qui a permis une attaque Man-in-the-Middle:
Lunettes avec du ruban électrique, un cheval de Troie dans l'appareil photo, un câble pour iPhone avec une surprisePassons à des sujets plus intéressants, bien que peut-être moins pratiques, pour les présentations à Black Hat / DEF CON. Des chercheurs de la société Tencent ont montré (
nouvelles , une autre
nouvelle sur Habré) un moyen de contourner partiellement le système de reconnaissance faciale FaceID dans les smartphones Apple. FaceID est assez bien protégé contre les tentatives de déverrouillage à l'aide de la photo du propriétaire ou si, par exemple, vous apportez le téléphone à une personne endormie. Pour cela, un modèle tridimensionnel du visage est créé et le mouvement des yeux est suivi. Mais si l'utilisateur porte des lunettes, un modèle 3D détaillé pour cette partie du visage n'est pas créé - probablement pour éviter les problèmes de reconnaissance. Dans ce cas, l'iPhone vérifie toujours si les yeux de la personne sont ouverts, identifiant les élèves avec l'appareil photo. Mais comme la qualité de reconnaissance est intentionnellement altérée, le «détecteur à œil ouvert» a été contourné avec du ruban électrique: un carré clair sur fond sombre, collé sur les lentilles, est identifié par le téléphone comme étant des élèves.
D'accord, c'est une étude intéressante, mais en pratique, il est seulement un peu plus facile de déverrouiller le téléphone de quelqu'un d'autre. Il faut se faufiler sur la personne endormie et lui mettre des lunettes avec du ruban électrique. Ou de ne pas assumer le scénario le plus agréable dans lequel une personne est inconsciente. Dans tous les cas, l'algorithme de reconnaissance mérite d'être resserré: même si la construction d'un modèle 3D avec des lunettes est impossible pour une raison quelconque, il est conseillé dans cette situation d'améliorer la qualité de l'analyse d'image à partir d'une caméra conventionnelle.
Le logiciel Check Point a
piraté le Canon EOS 80D. Pourquoi un appareil photo? Parce qu'ils le pouvaient! Au total, six vulnérabilités ont été découvertes dans la caméra, et la plus grave d'entre elles est présente dans le protocole PTP pour communiquer avec un ordinateur. Il s'est avéré que, lorsqu'il est connecté à un PC, vous pouvez lancer une mise à jour du micrologiciel de l'appareil sans confirmation de l'utilisateur. Grâce au flash forcé, les chercheurs ont pu installer un véritable cheval de Troie ransomware sur l'appareil photo: il crypte les photos sur la carte mémoire et affiche la demande de rançon à l'écran. Canon a publié un
bulletin d'
information pour les propriétaires d'appareils photo (dans lequel, pour une raison quelconque, il n'y a pas de lien direct vers la nouvelle version du firmware). Le rapport indique qu'il n'y a pas de vraies victimes et il est recommandé de ne pas connecter l'appareil photo à des ordinateurs douteux. En effet, à qui aurait-il lieu d'attaquer une caméra?
Vice a
écrit sur un activiste qui distribuait (et vendait pour 200 $) des câbles iPhone faits maison avec une porte dérobée intégrée sur Black Hat. La victime de ce câble, cependant, n'est pas le téléphone, mais l'ordinateur auquel l'appareil est connecté pour la synchronisation (la synchronisation, si cela fonctionne également). La porte dérobée est un point d'accès Wi-Fi et, apparemment, un émulateur de clavier. Au début de l'article, nous avons utilisé le terme «hackers» dans son sens positif, mais cette expérience, pour ainsi dire, se situe à la limite inférieure du positif. Le créateur du câble est resté anonyme, a vendu des câbles à l'aide de signets dans la zone de conférence. Et il a vendu avec succès les deux cents pièces.
Enfin, le site d'information The Register a
été honoré par une présentation de James Pavur, étudiant à l'Université d'Oxford. Il a mené une expérience sociale, envoyant à 150 entreprises l'obligation de fournir des informations conformément aux normes de la législation européenne GDPR. La loi donne aux utilisateurs le droit de recevoir des informations les concernant auprès d'entreprises qui collectent et traitent des données personnelles. Une nuance importante de l'histoire est que James n'a pas demandé d'informations sur lui-même, mais sur son épouse. Sur les 150 entreprises interrogées, 72% ont répondu à la demande.
Parmi ceux-ci, 84% ont admis avoir des informations sur la mariée du chercheur. En conséquence, nous avons reçu un numéro de sécurité sociale, la date de naissance, le nom de jeune fille, le numéro de carte de crédit et partiellement l'adresse de résidence. Une entreprise collectant des informations sur les mots de passe divulgués a envoyé une liste de mots de passe pour l'adresse e-mail. Et cela malgré le fait que toutes les entreprises n'ont pas accepté de fournir des données: dans 24% des cas, l'adresse e-mail et le numéro de téléphone de la victime (volontaire) étaient suffisants pour l'identification, dans 16% des cas une analyse d'identité (facilement falsifiée) était nécessaire, et 3% des entreprises vient de supprimer toutes les données sans les fournir. Cette expérience n'est pas destinée à réfuter les avantages du RGPD. Au contraire, cela montre que les entreprises ne sont pas toujours prêtes à remplir leurs nouvelles obligations et qu'il n'existe pas encore de méthodes généralement acceptées pour identifier les utilisateurs. Mais ce serait nécessaire: sinon, les tentatives de respecter la loi mènent à l'effet complètement opposé.
Matériel bonus: le chercheur Brad Dixon a trouvé un moyen de tromper un vélo d'appartement avec gamification intégrée (
article dans Vice,
site du projet). Les simulateurs Zwift vous permettent de transformer un vrai vélo en une version de pièce pour les entraînements à domicile en remplaçant la roue arrière par un module qui fournit la charge. Le simulateur est livré avec un logiciel pour les voyages à vélo virtuels, avec des records et de la compétition. Zwift identifie les tricheurs simples (vissage d'un tournevis sur un simulateur), donc Dixon a dû contourner la protection en utilisant des méthodes non triviales: intercepter les signaux des capteurs, émuler un trafic plausible, etc. En conséquence, la pédale d'accélérateur (aller très vite) et le régulateur de vitesse (aller à vitesse constante, modifiant légèrement les fausses données des capteurs) ont été ajoutés au simulateur. "Maintenant, vous avez la possibilité, sans interrompre votre formation, d'aller prendre une bière ou autre chose", a commenté l'auteur de l'étude.
Avertissement: Les opinions exprimées dans ce résumé peuvent ne pas coïncider avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.