Des recherches sur la sécurité récemment publiées suggèrent qu’une certaine marque d’appareils pour maison intelligente présente des vulnérabilités logicielles qui pourraient permettre à un pirate informatique avisé de les pirater. L’entreprise, Nexx, vend une variété de produits IoT, y compris des portes de garage connectées à Internet, des alarmes et des prises murales. Tous ces produits sont conçus pour être associé à l’application Nexx, qui permet aux utilisateurs de surveiller et de contrôler à distance leur environnement domestique. Cela peut sembler pratique, mais Malheureusement, des failles logicielles récemment découvertes dans la suite d’appareils Nexx semblent causer de gros problèmes à quiconque les utilise.
Sam Sabetan, le chercheur en sécurité qui est tombé sur le petit problème de Nexx, dit que les bugs pourraient permettre à un mauvais acteur de détourner complètement chaque et chacun des produits de l’entreprise. Cela semble assez dramatique, n’est-ce pas ? D’après Sabetan récemment recherche publiée, une exploitation appropriée des vulnérabilités pourrait permettre à une personne d’accéder aux informations personnelles de tous les titulaires de compte Nexx, y compris les adresses e-mail, les prénoms , dernières initiales et identifiants des appareils. Encore plus choquant , l’accès fourni pourrait permettre à un cyber compétiteur astucieux de manipuler tous les appareils connectés à Nexx. Cela signifie la possibilité d’ouvrir et de fermer les portes de garage à volonté, d’allumer et d’éteindre les alarmes et de désactiver les prises murales.
Le pire de tout, Sabetan prétend avoir contacté Nexx à plusieurs reprises au sujet des bugs, mais dit que l’entreprise ne veut pas reconnaître le problème.
Problème de mot de passe de Nexx
Tous les problèmes de sécurité de Nexx semblent être remontés à un mot de passe problématique que Sabetan a découvert lors d’une enquête sur la protection des données de l’entreprise. Sabetan dit il a initialement utilisé Suite de rots, un outil de test de sécurité, pour intercepter le trafic circulant vers et depuis son propre appareil Nexx. En passant au crible ce trafic, Sabetan est tombé sur quelque chose. cela ne semblait pas génial : le mot de passe mentionné ci-dessus, qui n’était ni chiffré ni protégé, flottait librement dans l’API de l’application. dehors, c’était une question assez importante.
Pour comprendre la signification de ce mot de passe, vous devez examiner la manière dont les appareils IoT communiquent généralement avec leurs utilisateurs. Dans ce cas, les appareils intelligents de Nexx sont alimentés par un protocole réseau appelé MQTT, abréviation de Message Queuing Télémétrie Transport.MQTT, qui est fréquemment utilisé dans les produits IoT, peut transmettre des messages vers et depuis un utilisateur, son appareil et celui de l’entreprise concernée. infrastructure cloud. Dans le cas de Nexx, le protocole était chargé d’aider à envoyer des commandes entre les trois (c’est-à-dire l’utilisateur, l’appareil, et le cloud), y compris des commandes, comme dire à une porte de garage de s’ouvrir ou à une alarme de sonner.
Voici la partie importante : un serveur, généralement appelé un « courtier »MQTT, est responsable d’aider à acheminer les données entre les parties. Surtout, un mot de passe est nécessaire pour protéger le serveur MQTT qui aide à acheminer les données. Idéalement, il devrait y avoir un mot de passe différent pour chaque appareil qui se connecte au serveur, dit Sabetan. Malheureusement, dans le cas de Nexx, il ne semble pas qui s’est connecté à son environnement cloud – le même mot de passe qui flottait dans l’API Nexx et qui avait été initialement envoyé à Sabetan .
Sabetan affirme que la raison pour que le mot de passe pivot est partagé avec l’utilisateur en premier lieu est d’aider à établir une connexion sécurisée entre l’appareil Nexx et le cloud Nexx lorsque l’appareil est configuré pour la première fois. Le mot de passe est initialement envoyé depuis le l’environnement cloud de l’entreprise sur le téléphone de l’utilisateur, puis sur l’appareil intelligent Nexx associé via WiFi ou Bluetooth, ce qui permet la connexion à être établi et permet à l’utilisateur d’utiliser l’application Nexx pour interagir avec l’appareil.
En d’autres termes, selon Sabetan, ce que Nexx a fait équivaut à un gestionnaire d’appartement qui remettrait la même clé à chaque locataire. dans leur immeuble ; cette clé vous permet d’accéder au bâtiment, mais elle vous permet également d’accéder à toutes les unités de vos voisins et à vos voisins. peut entrer dans votre appareil. Une telle clé serait également assez facile à voler, j’imagine.
« Dans les appareils IoT basés sur MQTT, il est crucial d’utiliser des mots de passe uniques pour chaque appareil afin de garantir un environnement de communication sécurisé. Dans le cas de Nexx, un mot de passe universel a été utilisé pour tous les appareils, compromettant la sécurité globale de leur système », écrit Sabetan. sur son blog.
De manière cruciale, l’accès au serveur MQTT permettait non seulement à Sabetan de visualiser le trafic des appareils liés à d’autres utilisateurs du compte Nexx, mais aurait également lui a permis d’envoyer des signaux à leurs appareils s’il le voulait (il ne l’a pas fait, choisissant plutôt de tester l’exploit sur plusieurs appareils Nexx qu’il avait acheté lui-même). portes, allumer et éteindre les alarmes et désactiver les prises murales. Pour démontrer comment cela fonctionne, Sabetan a réalisé une vidéo de lui manipulant à distance sa propre porte de garage qui se démonte exactement comment faire :
Nexx ne répond pas
Dans son article, Sabetan détaille davantage les implications de la décision de l’entreprise d’utiliser un « mot de passe universel » pour l’ensemble de son IoT. produits, qualifiant cela de compromis clair sur la « sécurité » des utilisateurs :
L’utilisation d’un mot de passe universel pour tous les appareils présente une vulnérabilité importante, car des utilisateurs non autorisés peuvent accéder à l’ensemble de l’écosystème en obtenant le mot de passe partagé. Ce faisant, ils pourraient compromettre non seulement la vie privée, mais aussi la sécurité des clients de Nexx en contrôlant leurs portes de garage sans leur consentement. .En plus d’être largement disponible dans l’API de Nexx, le mot de passe codé en dur est également publiquement disponible dans le micrologiciel livré avec l’appareil.
Sabetan dit qu’il a contacté Nexx à plusieurs reprises pour tenter de signaler les graves problèmes de sécurité, en envoyant même un e-mail au responsable de l’entreprise. PDG, mais n’a reçu aucune réponse. Sabetan a également contacté le Agence de cybersécurité et de sécurité des infrastructures (ou, CISA), une sous-agence du Département de la sécurité intérieure qui se concentre sur les divulgations de vulnérabilité, pour aider à contacter l’entreprise : en vain. En bref : il ne semble pas que l’entreprise soit intéressée à reconnaître publiquement le problème.
« Nexx a systématiquement ignoré les tentatives de communication de ma part, de celles du Département de la sécurité intérieure et des médias », écrit Sabatan, dans son article de blog sur les failles de sécurité. « Les propriétaires d’appareils devraient immédiatement débrancher tous les appareils Nexx et créer des tickets d’assistance avec l’entreprise leur demandant de corriger le problème. problème. » Gizmodo a également contacté Nexx pour obtenir des commentaires et mettra à jour notre histoire si la société répond.
