2 min read

La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

Bitdefender

August 17, 2020

Ad One product to protect all your devices, without slowing them down.
Free 90-day trial
La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

La serrure connectée de la marque August ne laisse pas les inconnus franchir votre porte, mais un cybercriminel qualifié pourra trouver votre mot de passe Wi-Fi. La vie privée physique est protégée, mais la vie numérique des gens est exposée.

Les serrures connectées sont un ajout intéressant et pratique à la sécurité personnelle, car elles libèrent les gens du fardeau du port des clés. L’industrie hôtelière en est également un grand bénéficiaire; les propriétaires d’établissements pouvant choisir, en quelques clics sur leur téléphone, qui peut entrer dans la propriété.

Comme tout autre système électronique, l’August Smart Lock doit être sécurisé. Toute vulnérabilité exposerait de nombreuses personnes. Heureusement, l’August Smart Lock n’est pas directement connecté à Internet. Il utilise le pont Connect Wi-Fi pour cette fonctionnalité.

Bitdefender s’est associé à PCMag et a étudié un certain nombre d’appareils connectés au cours de l’année écoulée, y compris le Smart Lock d’August. Bien que l’enquête n’ait pas découvert de moyen de désactiver le verrouillage et d’accorder l’entrée à un intrus, elle a révélé qu’avec les bons outils, un pirate peut découvrir votre mot de passe Wi-Fi.

“L’équipe de recherche sur la vulnérabilité IoT de Bitdefender a découvert que l’appareil communique avec l’application de configuration sur le smartphone de manière chiffrée, mais la clé de chiffrement est codée en dur dans l’application”, explique un livre blanc détaillant le problème. “Cela permet à un attaquant potentiel, situé non loin, d’écouter le trafic et d’intercepter le mot de passe Wi-Fi.”

La situation n’est possible que parce que le pont Connect Wi-Fi qui communique avec la serrure a une clé de chiffrement codée en dur. Le développeur obscurcit la communication en utilisant le chiffrement AES/CBC, mais cela ne sert à rien lorsque le pirate accède directement à la clé.

La bonne nouvelle est que seul un cybercriminel ayant des connaissances assez techniques peut suivre la démarche. Mais maintenant que les détails sur la façon dont cela est fait sont bien visibles, des outils d’automatisation pourraient être développés, ce qui simplifierait beaucoup le processus.

Bitdefender suit les règles de divulgation responsable, nous avons donc contacté la société dans un premier temps le 9 décembre 2019. Les fabricants du verrou ont reconnu la vulnérabilité et Bitdefender a réservé le numéro de vulnérabilité CVE-2019-17098 quelques jours plus tard. La divulgation publique coordonnée était prévue pour juin 2020. Malheureusement, le fournisseur a cessé de répondre aux messages, nous avons donc rendu publique la découverte.

Pour un compte rendu plus détaillé de la vulnérabilité, vous pouvez consulter le livre blanc.

tags


Author



Right now

Top posts

Abode IoT Security Camera Vulnerabilities Would Let Attackers Insert Images, Bitdefender Finds

Abode IoT Security Camera Vulnerabilities Would Let Attackers Insert Images, Bitdefender Finds

December 21, 2021

2 min read
Online Shoppers Beware, Mobile Scams Are on the Rise

Online Shoppers Beware, Mobile Scams Are on the Rise

December 17, 2021

2 min read
The Holiday Guide to Tech Support: Fixing the Family Computer

The Holiday Guide to Tech Support: Fixing the Family Computer

November 24, 2021

2 min read
Bitdefender Celebrates 20 Years of Cybersecurity Leadership

Bitdefender Celebrates 20 Years of Cybersecurity Leadership

November 04, 2021

3 min read
Bitdefender Study Reveals How Consumers Like (and Dislike) Managing Passwords

Bitdefender Study Reveals How Consumers Like (and Dislike) Managing Passwords

October 26, 2021

3 min read
What are drive-by download attacks and how do you prevent them?

What are drive-by download attacks and how do you prevent them?

October 25, 2021

2 min read

FOLLOW US ON

SOCIAL MEDIA