2 min read

La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

Bitdefender

August 17, 2020

Ad One product to protect all your devices, without slowing them down.
Free 90-day trial
La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

La serrure connectée de la marque August ne laisse pas les inconnus franchir votre porte, mais un cybercriminel qualifié pourra trouver votre mot de passe Wi-Fi. La vie privée physique est protégée, mais la vie numérique des gens est exposée.

Les serrures connectées sont un ajout intéressant et pratique à la sécurité personnelle, car elles libèrent les gens du fardeau du port des clés. L’industrie hôtelière en est également un grand bénéficiaire; les propriétaires d’établissements pouvant choisir, en quelques clics sur leur téléphone, qui peut entrer dans la propriété.

Comme tout autre système électronique, l’August Smart Lock doit être sécurisé. Toute vulnérabilité exposerait de nombreuses personnes. Heureusement, l’August Smart Lock n’est pas directement connecté à Internet. Il utilise le pont Connect Wi-Fi pour cette fonctionnalité.

Bitdefender s’est associé à PCMag et a étudié un certain nombre d’appareils connectés au cours de l’année écoulée, y compris le Smart Lock d’August. Bien que l’enquête n’ait pas découvert de moyen de désactiver le verrouillage et d’accorder l’entrée à un intrus, elle a révélé qu’avec les bons outils, un pirate peut découvrir votre mot de passe Wi-Fi.

“L’équipe de recherche sur la vulnérabilité IoT de Bitdefender a découvert que l’appareil communique avec l’application de configuration sur le smartphone de manière chiffrée, mais la clé de chiffrement est codée en dur dans l’application”, explique un livre blanc détaillant le problème. “Cela permet à un attaquant potentiel, situé non loin, d’écouter le trafic et d’intercepter le mot de passe Wi-Fi.”

La situation n’est possible que parce que le pont Connect Wi-Fi qui communique avec la serrure a une clé de chiffrement codée en dur. Le développeur obscurcit la communication en utilisant le chiffrement AES/CBC, mais cela ne sert à rien lorsque le pirate accède directement à la clé.

La bonne nouvelle est que seul un cybercriminel ayant des connaissances assez techniques peut suivre la démarche. Mais maintenant que les détails sur la façon dont cela est fait sont bien visibles, des outils d’automatisation pourraient être développés, ce qui simplifierait beaucoup le processus.

Bitdefender suit les règles de divulgation responsable, nous avons donc contacté la société dans un premier temps le 9 décembre 2019. Les fabricants du verrou ont reconnu la vulnérabilité et Bitdefender a réservé le numéro de vulnérabilité CVE-2019-17098 quelques jours plus tard. La divulgation publique coordonnée était prévue pour juin 2020. Malheureusement, le fournisseur a cessé de répondre aux messages, nous avons donc rendu publique la découverte.

Pour un compte rendu plus détaillé de la vulnérabilité, vous pouvez consulter le livre blanc.

tags


Author



Right now

Top posts

What is medical identity theft and how to protect against it

What is medical identity theft and how to protect against it

July 27, 2022

2 min read
Curious about Omegle? Here’s how the roulette-style chat platform can threaten your online privacy and security

Curious about Omegle? Here’s how the roulette-style chat platform can threaten your online privacy and security

July 07, 2022

5 min read
Identifying and Dealing with Online Bullying Is Not Impossible - School Presentation Inside

Identifying and Dealing with Online Bullying Is Not Impossible - School Presentation Inside

June 28, 2022

2 min read
Let’s Celebrate World Social Media Day by Improving Your Privacy and Security Online

Let’s Celebrate World Social Media Day by Improving Your Privacy and Security Online

June 28, 2022

3 min read
Bitdefender Reveals the Top Cyber Threats Faced by Consumers in 2021

Bitdefender Reveals the Top Cyber Threats Faced by Consumers in 2021

June 22, 2022

1 min read
Scam alert: Cybercrooks use shady investment domain to scam keen investors out of money and data

Scam alert: Cybercrooks use shady investment domain to scam keen investors out of money and data

May 24, 2022

3 min read

FOLLOW US ON

SOCIAL MEDIA