Les chercheurs de Doctor Web ont découvert des vulnérabilités importantes dans plusieurs modèles de montres connectées destinées aux enfants et populaires en Russie.
Ils ont notamment trouvé des mots de passe faibles, des comportements suspects et des transmissions de données non chiffrées.
Des vulnérabilités dans tous les modèles
De plus en plus d'objets connectés se destinent aux enfants, comme les montres. Elles permettent à leurs parents de communiquer avec eux, de les localiser et de surveiller leurs activités. Mais, comme découvert par les chercheurs de Doctor Web, plusieurs modèles de montres connectées présentent des vulnérabilités importantes qui menacent la vie privée de leurs jeunes utilisateurs et peuvent rendre leurs données plus publiques que prévu.
Quatre modèles de montres connectées ont été étudiés : ELARI KidPhone 4G, Wokka Lokka Q50, ELARI FixiTime Lite et Smart Baby Watch Q19. Ces modèles ont été choisis selon leur popularité en Russie et leur diversité de prix. Les conclusions des chercheurs sont sans appel : toutes ces montres présentent des vulnérabilités plus ou moins importantes.
La montre présentant le plus de problèmes est la ELARI KidPhone 4G. Les chercheurs ont découvert en son sein trois modules cachés qui transmettent des données et reçoivent les commandes d'un serveur distant. Ils envoient le numéro de téléphone de l'utilisateur, les informations de sa carte SIM, ses données de géolocalisation et des informations à propos de l'appareil. En retour, ils peuvent recevoir des commandes pour télécharger ou désinstaller des applications et charger des pages web. Les chercheurs soulignent la possibilité que ces modules soient utilisés pour télécharger des applications malveillantes ou charger des publicités.
Des transmissions de données et des mots de passe non sécurisés
La Wokka Lokka Q50 Smartwatch n'a pas d'activités suspectes. Cependant, elle souffre de plusieurs manquements en matière de sécurité. Les données transmises entre la montre et le serveur ne sont pas chiffrées, et son mot de passe de base, « 123456 », est très faible. De plus, il n'est pas indiqué clairement aux utilisateurs qu'il est possible de le changer. À cause de ces manquements, des attaques de type man-in-the-middle sont réalisables facilement et permettraient aux attaquants d'obtenir des informations sur l'utilisateur ou de prendre le contrôle de la montre.
L'ELARI FixiTime Lite Smartwatch souffre du même problème de données transmises de façon non sécurisée. Par exemple, les images et les messages vocaux sont envoyés en HTTP et pourraient être facilement interceptés. Quant à la dernière, la Smart Baby Watch Q19, si elle chiffre ses transmissions, elle possède le même mot de passe faible que la Wokka Lokka pour envoyer des commandes. Ces dernières sont cependant limitées, et ce dernier modèle reste celui qui présente le moins de risques.
Les chercheurs notent que si leurs recherches se portaient sur des modèles particuliers de montres, il est très probable que d'autres partagent les mêmes logiciels et firmwares que les montres étudiées, et donc les mêmes vulnérabilités. Ils appellent donc les parents à la prudence lors de l'achat d'objets connectés pour leurs enfants. Les entreprises concernées par ces vulnérabilités ont été informées de celles-ci.
Comment le deep learning va vraiment booster la cybersécurité
Source : Doctor Web