Gadgets
Un étudiant découvre des failles de confidentialité dans les caméras de sécurité et de sonnette connectées
Ring, Nest, SimpliSafe et huit autres fabricants de sonnettes et caméras de sécurité connectées à Internet ont été alertés par "des défauts de conception systémiques" découverts par Blake Janes, étudiant en informatique de Florida Tech, qui permet à un compte partagé qui semble avoir été supprimé de rester réellement dans endroit avec un accès continu au flux vidéo.
Janes a découvert que le mécanisme de suppression des comptes d'utilisateurs ne fonctionne pas comme prévu sur de nombreux systèmes de caméras car il ne supprime pas les comptes d'utilisateurs actifs. Cela pourrait permettre à des "acteurs malveillants" potentiels d'exploiter la faille pour conserver indéfiniment l'accès au système de caméra, enregistrant secrètement de l'audio et de la vidéo dans une invasion substantielle de la vie privée ou des cas de harcèlement électronique.
Les résultats ont été présentés dans le document «Never Ending Story: Authentication and Access Control Design Flaws in Shared IoT Devices», par Janes et deux professeurs de Florida Tech du meilleur institut de recherche en cybersécurité de l'université, L3Harris Institute for Assured Information, Terrence O 'Connor, président du programme de cybersécurité, et Heather Crawford, professeur adjoint en génie informatique et sciences.
Le travail de Janes a informé les fournisseurs des vulnérabilités et a proposé plusieurs stratégies pour remédier au problème sous-jacent. En reconnaissant l'importance du travail, Google lui a décerné une «prime de bogue» de 3 133 $ pour avoir identifié un défaut dans la série d'appareils Nest. D'autres fournisseurs, dont Samsung, ont communiqué avec Janes sur les solutions recommandées pour corriger la vulnérabilité.
La faille est préoccupante dans les cas où, par exemple, deux partenaires partagent une résidence puis divorcent. Chacun a des applications pour smartphone qui accèdent au même appareil photo. La personne A supprime l'accès de la personne B à la caméra, mais cela n'est jamais relayé à l'appareil de la personne B. La Personne B a donc toujours accès même si elle a été révoquée sur l'appareil photo et le smartphone de la Personne A et que le mot de passe du compte a été modifié.
L'équipe de Florida Tech a constaté que cela se produit en grande partie parce que les décisions d'accorder ou non l'accès sont prises dans le cloud et non localement sur l'appareil photo ou les smartphones concernés. Cette approche est préférée par les fabricants car elle permet aux caméras de transmettre des données de manière à ce que chaque caméra n'ait pas besoin de se connecter directement à chaque smartphone.
De plus, les fabricants ont conçu leurs systèmes pour que les utilisateurs n'aient pas à répondre de manière répétée aux demandes d'accès, ce qui pourrait devenir ennuyeux et les amener à désactiver ce contrôle de sécurité, s'il était en place, ou à abandonner complètement la caméra.
Et la sécurité est encore compliquée par le fait que l'acteur malveillant potentiel n'a pas besoin d'outils de piratage avancés pour réaliser cette invasion, car l'attaque est réalisable à partir des applications compagnons existantes des appareils.
"Notre analyse a identifié une défaillance systémique des systèmes d'authentification des appareils et de contrôle d'accès pour les écosystèmes partagés de l'Internet des objets", conclut le document. "Notre étude suggère qu'il reste un long chemin à parcourir pour que les fournisseurs mettent en œuvre la sécurité et la confidentialité du contenu produit par l'IoT."
Les appareils où des défauts ont été détectés sont: caméra Blink, caméra Canary, caméra D-Link, mini caméra Geeni, sonnette et caméra Pan / Tilt, caméra Merkury, caméra Momentum Axel, caméra Nest et courant de sonnette, sonnette NightOwl, sonnette Ring Pro Courant de sonnette courant et standard, caméra et sonnette SimpliSafe et caméra Kasa TP-Link.
Bien que les correctifs proviendront des fabricants, si vous possédez l'une des caméras susmentionnées, il est important de mettre à jour le micrologiciel actuel. De plus, les clients soucieux de leur confidentialité après avoir supprimé des utilisateurs supplémentaires doivent toujours changer leurs mots de passe et éteindre et rallumer leurs caméras.
Les utilisateurs de caméras de sonnette doivent utiliser l'authentification à deux facteurs pour protéger les comptes
Citation:
Un étudiant découvre des failles de confidentialité dans les caméras de sécurité et de sonnette connectées (2020, 27 mai)
récupéré le 27 mai 2020
depuis https://techxplore.com/news/2020-05-student-privacy-flaws-doorbell-cameras.html
Ce document est soumis au droit d'auteur. Hormis toute utilisation équitable aux fins d'études ou de recherches privées, aucune
une partie peut être reproduite sans l'autorisation écrite. Le contenu est fourni seulement pour information.
Sommaire