Les applications pour les appareils domestiques intelligents populaires contiennent des failles de sécurité

Les applications pour les appareils domestiques intelligents populaires contiennent des failles de sécurité, selon une nouvelle recherche

Crédit : Institut de technologie de Floride

Une nouvelle recherche sur la cybersécurité de Florida Tech a révélé que les applications compagnons pour smartphone de 16 appareils domestiques intelligents populaires contiennent des « failles cryptographiques critiques » qui pourraient permettre aux attaquants d’intercepter et de modifier leur trafic.

Alors que les appareils Internet des objets (IoT) tels que les serrures connectées, les capteurs de mouvement, les caméras de sécurité et les haut-parleurs intelligents deviennent de plus en plus omniprésents dans les foyers à travers le pays, leur popularité croissante signifie que davantage de personnes sont exposées au risque de cyber-intrusions.

“Les appareils IoT offrent la promesse de la sécurité avec des serrures, des alarmes et des caméras de sécurité connectées”, écrivent le professeur assistant en génie informatique et sciences TJ O’Connor et les étudiants Dylan Jessee et Daniel Campos dans leur article, Through the Spyglass: Toward IOT Companion App Man Attaques au milieu. “Cependant, les attaquants peuvent tirer parti de la nature immature mais omniprésente de l’IoT pour espionner et surveiller les victimes.”

O’Connor dirige le programme de cybersécurité de Florida Tech et dirige l’IoT Security and Privacy Lab (photo ci-dessus), qui a mené des recherches révélatrices sur les failles de confidentialité des caméras connectées à Internet. Cet été, il a été nommé entraîneur-chef de l’équipe inaugurale des Cyber ​​Games aux États-Unis.

Les recherches menées par O’Connor et ses étudiants mettent souvent en évidence les vulnérabilités troublantes des appareils IoT grand public, et leur dernier article poursuit cet objectif.

En soumettant 20 appareils à une multitude d’attaques “de l’homme du milieu” dans lesquelles les auteurs cherchent à intercepter les communications entre les parties, permettant le vol des identifiants de connexion, l’espionnage ou d’autres activités néfastes, les chercheurs ont découvert que 16 fournisseurs d’appareils n’avaient pas mis en œuvre mesures de sécurité, permettant ainsi les attaques.

“Nous émettons l’hypothèse que l’architecture de communication distribuée de l’IoT introduit des vulnérabilités qui permettent à un attaquant d’intercepter et de manipuler le canal de communication, affectant la perception au niveau de l’utilisateur d’un appareil IoT”, ont-ils écrit. “Nous appliquons cette (attaque) à un large éventail de fournisseurs d’appareils domestiques intelligents pour dissimuler les utilisateurs malveillants, supprimer les rapports de mouvement, modifier les images de la caméra, déverrouiller les portes et manipuler les fichiers journaux d’historique.”

Les appareils IoT qui présentaient cette vulnérabilité étaient : Amazon Echo, serrure August, caméra Blink, caméra Google Home, lumières Hue, serrure Lockly, caméra Momentum, caméra Nest, sonnette NightOwl, Roku TV, serrure Schlage, serrure Sifely, alarme SimpliSafe, SmartThings serrure, serrure UltraLoq et caméra Wyze.

Les appareils de quatre fournisseurs (Arlo, Geeni, TP-Link et Ring) se sont avérés insensibles aux attaques menées par les chercheurs.

“Alors que notre travail révèle des défaillances généralisées, les fournisseurs peuvent prendre des mesures pour améliorer la confidentialité et l’intégrité des appareils domestiques intelligents et de leurs applications”, ont écrit les chercheurs.

Les chercheurs ont divulgué les vulnérabilités aux fournisseurs concernés et à Apple avant la publication de leur travail. Comme l’ont souligné les chercheurs dans leur article, les fournisseurs doivent mettre en œuvre des implémentations cryptographiques côté serveur plus solides pour empêcher ces attaques.

Plusieurs fournisseurs ont commencé à mettre en œuvre ces recommandations, dont Wyze, qui a mis à jour son application associée avant la présentation par les chercheurs de leurs résultats lors du Cyber ​​Security Experiment & Test Workshop en août.

Le travail a été parrainé par l’Office of Naval Research. Dylan Jessee, un cadet du programme Army ROTC de l’université, a dirigé les efforts visant à identifier les vulnérabilités. Jessee espère se lancer dans le domaine de la cyber-carrière de l’armée après sa mise en service.

L’article intitulé “À travers le Spyglass: Toward IOT Companion App Man-in-the-Middle Attacks” est disponible sur research.fit.edu/iot.


« Capturez » vos appareils IoT et améliorez leur sécurité


Plus d’information:
TJ OConnor et al, Through the Spyglass: Towards IoT Companion App Man-in-the-Middle Attacks, Atelier d’expérimentation et de test de la cybersécurité (2021). DOI : 10.1145/3474718.3474729

Fourni par le Florida Institute of Technology

Citation: Les applications pour les appareils domestiques intelligents populaires contiennent des failles de sécurité (2021, 24 septembre) récupérées le 24 septembre 2021 à partir de https://techxplore.com/news/2021-09-apps-popular-smart-home-devices.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.