Actualités

IoT : des failles révélées dans les systèmes domotiques HDL Automation, lors de la DefCon !

Une fois de plus, la domotique reste une technologie frêle : c’est en tout cas ce que démontre Barak Sternberg, au détour de la session IoT Village organisée du 7 au 9 Août dernier, dans le cadre de l’édition 2020 de la DefCon.

 

 

Lors de la présentation, deux grandes vulnérabilités ont été dévoilées :

 

  • D’une part, la création systématique d’une sorte de doublon de compte nommé “user-debug” en guise d’adresse-mail, lors de la création d’un nouveau compte depuis l’application mobile : un individu malveillant pourrait exploiter ce doublon en modifiant le mot de passe directement sur le compte de debug, sans que le compte originel n’ait son mot de passe modifié. Ainsi, en arrière-plan, la victime n’aurait plus de main sur la configuration ou le contrôle de ses appareils IoT. On imagine un tel exploit au sein d’une maison entièrement ou massivement connectée ;

 

  • D’autre part, une potentielle injection SQL pourrait se faire par le biais d’une API (GetRoomBindingDevice) des solutions HDL Automation. En finalité, l’exploit permet une ex-filtration de données qui comprend, à peu de choses près, l’ensemble des informations-réseaux de ces objets domotiques.

 

La faille serait en cours de résolution ou serait résolue, selon Barak Sternberg… A veiller !

 

 

Source : Bleeping Computer – 8 Août 2020 – Domotique : vulnérabilité avec injection depuis SQL pour les solutions HDL Automation.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020