Backdoorer the Xplora: les montres intelligentes pour enfants peuvent secrètement prendre des photos, enregistrer de l’audio sur commande par des textes cryptés

  • FrançaisFrançais


  • La montre intelligente Xplora 4, fabriquée par la société chinoise Qihoo 360 Technology Co, et commercialisée auprès des enfants sous la marque Xplora aux États-Unis et en Europe, peut secrètement prendre des photos et enregistrer du son lorsqu’elle est activée par un message SMS crypté, explique la société de sécurité norvégienne Mnemonic.

    Cette porte dérobée n’est pas un bug, insistent les chercheurs, mais une fonction délibérément cachée. Environ 350 000 montres ont été vendues à ce jour, indique Xplora. Exploiter cette faille de sécurité est essentiellement non trivial, notons-nous, bien que cela révèle le genre de choses accessibles à distance laissées dans le firmware des gadgets d’aujourd’hui.

    “La porte dérobée en elle-même n’est pas une vulnérabilité”, ont déclaré les pros de l’Infosec Harrison Sand et Erlend Leiknes dans un rapport publié lundi. “C’est un ensemble de fonctionnalités développé avec l’intention, avec des noms de fonction qui incluent l’instantané à distance, l’emplacement d’envoi et l’écoute électronique. La porte dérobée est activée en envoyant des commandes SMS à la montre.”

    Les chercheurs suggèrent que ces montres intelligentes pourraient être utilisées pour capturer des photos secrètement à partir de son appareil photo intégré, pour suivre l’emplacement du porteur et pour effectuer des écoutes via le micro intégré. Ils n’ont pas prétendu qu’une telle surveillance avait effectivement été effectuée. Les montres sont commercialisées comme le premier téléphone d’un enfant, nous dit-on, et contiennent donc une carte SIM pour la connectivité (avec un numéro de téléphone associé). Les parents peuvent suivre les allées et venues de leur progéniture en utilisant une application qui trouve le porteur de la montre.

    Il s’agit d’un ensemble de fonctionnalités développé avec l’intention, avec des noms de fonction qui incluent l’instantané distant, l’emplacement d’envoi et l’écoute électronique. La porte dérobée est activée en envoyant des commandes SMS à la montre

    Xplora soutient que le problème de sécurité n’est que du code inutilisé d’un prototype et a maintenant été corrigé. Mais les montres intelligentes de la société figuraient parmi celles citées par le Mnemonic et le Norwegian Consumer Council en 2017 pour divers problèmes de sécurité et de confidentialité.

    Sand et Leiknes notent dans leur rapport que si la société norvégienne Xplora Mobile AS distribue la ligne de montres Xplora en Europe et, à partir de septembre, aux États-Unis, le matériel a été fabriqué par Qihoo 360 et 19 de ses 90 applications basées sur Android proviennent de la société chinoise.

    Ils soulignent également qu’en juin, le département américain du Commerce a placé les groupes commerciaux chinois et britanniques de Qihoo 360 sur sa liste d’entités, une désignation qui limite la capacité de Qihoo 360 à faire des affaires avec des entreprises américaines. Les autorités américaines affirment, sans fournir aucune preuve à l’appui, que l’entreprise représente une menace potentielle pour la sécurité nationale américaine.

    En 2012, un rapport d’un groupe de hackers civils basé en Chine appelé Intelligent Defence Friends Laboratory a accusé Qihoo 360 d’avoir une porte dérobée dans son navigateur sécurisé 360. [[PDF]].

    En mars, Qihoo 360 a affirmé que la Central Intelligence Agency américaine menait des attaques de piratage contre la Chine depuis plus d’une décennie. Qihoo 360 n’a pas immédiatement répondu à une demande de commentaire.

    Selon Mnemonic, le Xplora 4 contient un package appelé «Service de connexion persistante» qui s’exécute pendant le processus de démarrage d’Android et itère à travers les applications installées pour construire une liste de «intentions», des commandes pour appeler des fonctionnalités dans d’autres applications.

    Avec l’intention Android appropriée, un message SMS crypté entrant reçu par l’application SMS Qihoo pourrait être dirigé via le répartiteur de commandes dans le service de connexion persistante pour déclencher une commande d’application, comme un instantané de la mémoire distante.

    Les pirates peuvent suivre, usurper des emplacements et écouter sur les montres intelligentes pour enfants

    LIRE LA SUITE

    Pour exploiter cette porte dérobée, il faut connaître le numéro de téléphone du périphérique cible et sa clé de chiffrement définie en usine. Ces données sont disponibles pour ceux de Qihoo et Xplora, selon les chercheurs, et peuvent être extraites physiquement de l’appareil à l’aide d’outils spécialisés. Cela signifie essentiellement que les gens ordinaires ne seront pas piratés, que ce soit par le fabricant sous les ordres de Pékin ou par des malfaiteurs opportunistes attaquant des gadgets dans la nature, bien que ce soit un problème pour les personnes d’intérêt. Il met également en évidence le type de code qui reste dans les appareils grand public.

    En réponse à une demande de Le registre, Xplora, qui maintient sa propre infrastructure backend sur AWS en Allemagne pour les smartwatches qu’il distribue, a déclaré avoir pris des mesures pour remédier à la situation, notamment la publication d’un correctif de micrologiciel.

    “Xplora prend très au sérieux la confidentialité et toute faille de sécurité potentielle”, a déclaré la société dans un communiqué envoyé par courrier électronique. “Depuis que nous avons été alertés, nous avons développé un correctif pour le Xplora 4 qui éliminera ce problème potentiel et nous l’avons repoussé avant 8 heures CET le 9 octobre.”

    La société affirme que le problème de sécurité provient du code inclus dans des prototypes qui n’est pas facilement accessible. Lors de la conception de la montre intelligente, selon l’entreprise, les parents ont fourni des commentaires indiquant qu’ils souhaitaient pouvoir contacter leurs enfants en cas d’urgence et pouvoir obtenir des images de localisation en cas d’enlèvement.

    Xplora a inclus l’instantané et d’autres fonctionnalités dans le cadre d’un test de prototype, mais a décidé de ne pas les implémenter dans la version commerciale en raison de problèmes de confidentialité.

    “Il est important de noter que la faille potentielle nécessite un accès physique à la montre X4 et au numéro de téléphone privé”, a déclaré le porte-parole de Xplora. «Même si cela est activé, le seul endroit où l’image irait est le serveur Xplora en Allemagne situé dans un environnement Amazon Web Services hautement sécurisé qui n’est pas accessible à des tiers.

    Le porte-parole a déclaré que la société avait mené un audit depuis qu’elle avait été informée du rapport de sécurité et n’avait trouvé aucune preuve que la faille de sécurité était exploitée. ®

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *