En ce qui concerne la sécurité des verrous intelligents, les utilisateurs craignent souvent qu'un pirate informatique puisse contourner la sécurité intégrée d'un appareil pour accéder à leur domicile. Cependant, Bitdefender a découvert une nouvelle vulnérabilité dans August Smart Lock Pro + Connect qui pourrait donner à un pirate un accès complet à l'ensemble du réseau Wi-Fi d'un utilisateur.
PCMag s'est associé à l'équipe de sécurité IoT de Bitdefender pour obtenir des informations sur les failles de sécurité qui affectent les appareils domestiques intelligents et le média a publié un nouveau rapport sur le sujet tandis que la société de sécurité a publié un livre blanc intitulé «Cracking the August SmartLock: WiFi Password Eavesdropping Rendue facile".
L'équipe de sécurité de Bitdefender a constaté que toutes les commandes entre l'application et le verrou intelligent sont cryptées et «ne peuvent pas être interceptées ou modifiées». De plus, le pont Connect d'août ne fonctionne que si un utilisateur a un verrou d'août enregistré sur son compte.
Sommaire
Vulnérabilité de verrouillage intelligent
Le Smart Lock Pro + Connect d'August doit se connecter au réseau Wi-Fi local d'un utilisateur pour fonctionner. Pour configurer l'appareil, les utilisateurs doivent mettre leur verrou intelligent en mode de configuration, ce qui le fait agir comme un point d'accès et l'application transmet leurs informations de connexion Wi-Fi à l'appareil.
Cependant, l'équipe de Bitdefender a découvert un problème avec ce système car les informations d'identification ne sont en aucun cas protégées lors de cet échange. Cela signifie qu'un pirate informatique écoutant le réseau pourrait capturer ces informations d'identification et obtenir un accès complet au réseau d'un utilisateur. Le pirate informatique devrait espionner le réseau au moment exact où l'échange a lieu pour capturer les informations d'identification d'un réseau, mais les chercheurs ont pu trouver un moyen de forcer la rentrée des informations d'identification.
August a intégré le cryptage dans son application afin qu'un pirate qui fouine sur un réseau Wi-Fi ne puisse pas voler ces informations d'identification. Cependant, la société a codé en dur la clé de cryptage dans le micrologiciel de leur serrure intelligente. Selon Bitdefender, la clé est cryptée à l'aide d'un chiffrement très simple appelé ROT-13.
Bitdefender a informé août de ses conclusions en décembre dernier et le fabricant de matériel a répondu avec une proposition de divulgation mutuelle qui devait avoir lieu en juin de cette année. La communication entre les deux sociétés a cependant échoué et Bitdefender a décidé de divulguer la vulnérabilité elle-même après une période de 90 jours au cours de laquelle August pourrait apporter les correctifs nécessaires à son verrou intelligent.
Quand PCMag a contacté le mois d'août avant de publier son rapport, un porte-parole de la société a fait la déclaration suivante: «L'équipe d'août est consciente de la vulnérabilité et travaille actuellement pour résoudre le problème. Pour le moment, nous n'avons connaissance d'aucun compte client concerné. "
Via PCMag