Les robots aspirateurs connectés au cloud de Shark sont actuellement exposés à une faille non corrigée dans la politique IoT (Internet des objets) d'AWS (Amazon Services) qui pourrait transformer un appareil compromis en une « clé passe-partout » permettant de contrôler à distance de nombreux autres appareils situés dans la même région, et d'accéder ainsi aux caméras, aux cartes et aux mots de passe Wi-Fi.
Un chercheur utilisant le pseudonyme « tokay0 » a démonté un robot aspirateur Shark RV2320EDUS et a découvert que son certificat AWS IoT intégré lui permettait de publier et de s'abonner à des sujets concernant n'importe quel appareil Shark situé dans la même région AWS, et pas seulement lui-même.
Une région AWS est un emplacement géographique distinct où Amazon ses centres de données cloud. Chaque région AWS est totalement isolée des autres. Il existe actuellement 39 régions AWS à travers le monde.
De par sa conception, AWS fournit des « ombres » par appareil qui stockent des informations d’état telles que la configuration et les commandes. Cependant, la politique MQTT (Message Queuing Telemetry Transport) trop permissive de Shark permet à un certificat volé de communiquer également avec les ombres d’autres aspirateurs.
En termes simples, cela signifie que chaque aspirateur est censé disposer de sa propre « boîte de réception » privée dans le cloud. Les règles de sécurité de Shark dans le cloud étant trop générales, un certificat volé à un aspirateur peut également envoyer des commandes vers les boîtes de réception d’autres aspirateurs.
Bien que le certificat ait été extrait du système « vacuum » grâce à un accès physique et à une console de débogage — ce qui signifie que la compromission initiale nécessite un accès physique —, l'exploitation qui s'ensuit s'effectue à distance et via le cloud.
Pour les propriétaires, il ne s'agit pas simplement de quelqu'un qui mettrait votre aspirateur en marche à 3 h du matin. Selon le chercheur, un pirate disposant d'un tel accès au cloud pourrait :
- Regardez les images filmées par la caméra de l'aspirateur, qui se transforme ainsi en dispositif de surveillance mobile au sein de votre domicile.
- Voler le mot de passe Wi-Fi, qui, selon le chercheur, est stocké en clair, ce qui pourrait leur permettre de s'introduire sur votre réseau local.
- Copiez la carte de votre maison établie par l'aspirateur robot, qui indique la disposition des pièces et la fréquence d'utilisation des différentes zones.
Nous avons déjà vu comment les aspirateurs « intelligents » peuvent constituer des risques pour la vie privée et la sécurité lorsque les fabricants lésinent sur la sécurité. Malwarebytes Labs expliqué comment les robots aspirateurs Ecovacs pouvaient être piratés pour diffuser des messages obscènes et espionner les utilisateurs via leurs haut-parleurs et leurs capteurs, démontrant ainsi à quelle vitesse un appareil ménager utile peut se transformer en un intrus indésirable.
À l’aide du certificat issu de son propre aspirateur, le chercheur a pu surveiller le trafic provenant des appareils Shark situés dans la même région AWS et déterminer lesquels prenaient en charge l’exécution de commandes à distance. Sur une période de 24 heures dans une seule région AWS, le chercheur a recensé 1 517 605 numéros de série Shark uniques et constaté que 673 816 appareils (environ 44 %) répondaient d’une manière indiquant qu’ils prenaient en charge la fonctionnalité d’exécution de commandes à distance.
Le chercheur a écrit :
« Il est difficile d'estimer le nombre exact d'appareils concernés, et encore plus difficile d'identifier ceux qui possèdent ces certificats mal configurés permettant la publication entre appareils. »
Mais il en a conclu que :
« Un très grand nombre d'appareils IoT SharkNinja sont concernés par cette vulnérabilité. »
Comment rester en sécurité
Le problème au cœur de cette situation réside dans une politique côté cloud qui n'est pas assez stricte. Il s'agit donc d'un problème côté serveur, et non d'un bug du micrologiciel que vous pouvez corriger vous-même.
Selon le chercheur, SharkNinja n'a pas corrigé cette faille de sécurité, bien qu'elle lui ait été signalée il y a plus de six mois. Tant que la situation n'aura pas changé, les propriétaires devraient :
- Faites pression sur Shark pour qu'il règle ce problème.
- Désactivez la commande à distance de l'aspirateur ou déconnectez-le du Wi-Fi si vous n'avez pas besoin de ses fonctionnalités connectées.
- Restez à l'affût des annonces de Shark concernant un correctif, un CVE ou un rappel.
Naviguez comme si personne ne vous regardait.
Malwarebytes Privacy VPN votre connexion et n'enregistre jamais vos activités, pour que le prochain article que vous lirez ne vous concerne pas personnellement.Essayez-le gratuitement →




