Actualités

IoT : quand une machine à café est détournée via une attaque par ransomware ! (pause non-café…)

Rien à voir avec cette pausecafé… malheureusement toujours dans l’actualité insécuritaire, l’Internet of Things (IoT) reste un champ en jachère dont certains manquements sont toujours à combler par certains esprits inventifs : c’est le cas de ce récent détournement qui rend hors de contrôle cette machine à boissons connectée… qui se bloque à cause d’un ransomware !

 

 

C’est un des chercheurs de l’équipe Avast qui, au 25 Septembre dernier, partage ce PoC : l’exploit repose sur un système peu complexifié ou, du moins, qui, pour l’heure, n’a pas subit d’approches sécuritaires poussées. Comme rappelé en préambule du billet, une telle machine connectée repose sur une connectivité de type Wi-Fi – en général – avec une application mobile qui sera jointée au besoin pour paramétrer plusieurs aspects (lancement différé, personnalisation menu…). L’ensemble est, ainsi, sous le joug d’un “protocole binaire simple avec peu de chiffrement, d’autorisation ou d’authentification” et communique en réseau par le biais du port 2081, en TCP. A noter que si aucune application n’est couplée avec l’appareil connecté, le Wi-Fi agrippé par défaut sera le premier ouvert : en public, notamment…

 

Pour enfoncer le clou (puisque déjà, sans rien faire, l’ensemble s’avère sécuritairement branlant), le chercheur a modifié avec succès le firmware (mise à jour) de la machine à boisson. Pour y parvenir, de simples recherches depuis Google ont permis de savoir sur quel type de commande il fallait influer pour renverser cette vapeur et permettre un forçage de la mise à jour. Cette dernière exploite une vulnérabilité d’un ancien firmware qui ne requiert, en complément, aucune action de la part de l’utilisateur pour amorcer le processus : “sur le firmware le plus récent, vous devez appuyer sur un bouton pour démarrer la mise à jour, mais ce n’est pas le cas avec les anciennes versions !“, est-il souligné. Après quelques recherches dans le système et les fichiers (système) l’hypothèse d’un chiffrement nul se confirme via, notamment, un firmware qui est déployé ou inscrit en clair, directement sur la mémoire-flash de l’appareil IoT. Un démontage (physique) de la machine, est effectué, au niveau de la carte principale.

 

Outre le module ESP8266 (pour la partie Wi-Fi), une puce ARM Cortex M0 est révélée : cela a permis de pouvoir orienter la méthode de piratage pour, ici, détourner l’IDA (Interactive DisAssembler) et chargé le code malveillant ou des commandes assimilées. “à partir d’une chaîne, vous pouvez généralement déduire quelles fonctions utilisent la chaîne et en fonction de cette référence, vous pouvez généralement découvrir ce que fait la fonction. Cela permet également d’identifier en premier les fonctions les plus courantes et les plus référencées. Plus précisément dans le cas de l’IoT, un bon indice pourrait également identifier les broches d’ I / O mappées en mémoire […] Nous avons également découvert les variables globales qui stockent l’état des boutons et les données reçues via Wi-Fi, ainsi que les routines qui contrôlent l’affichage et tous les gadgets. Nous avons également trouvé la fonction d’allocation et de libération de mémoire, de bip, de retard, etc. network exécute la commande. Cela nous a permis de créer une liste de toutes les commandes à distance que la cafetière est capable d’exécuter“.

 

Plutôt que d’écraser l’ensemble du micro-logiciel (une technique tout à fait faisable mais qui peut s’avérer fastidieuse si l’on manque de temps ou de patience pour tenter de décortiquer les entrailles de la micro-puce), la modification a pu être opérée depuis la mise à jour Android (Java). Là encore, le chercheur souligne le manque de chiffrement dans le code-firmware, avec des échanges-réseau, à ce niveau, en texte clair, depuis une connexion Wi-Fi. De là, il ne reste plus qu’à intégrer la mise à jour modifiée (malveillante) : ici, par le biais de Python verse l’uploader depuis le port 2081. Le cas du ransomware a été choisit pour sa simplicité d’action (un blocage) plutôt qu’une autre tendance : le minage de crypto-monnaie, à la vue de la vitesse pauvre (8MHz) dont bénéficie la machine, hors adjonction de dispositif pour amplifier le signal, éventuellement.

Au final, la commande permettant à la machine de se connecter au réseau est détournée pour faire apparaître le ransomware, via un message avec un lien, ce qui bloque toute possibilité d’obtenir un café. Bien évidemment, un cyber-attaquant peut tenter sa chance avec un court-circuitage du réseau à distance (sans modifier le micro-code) ou du Wi-Fi dédié. Enfin, par le biais de l’application sous Android, un changement de la mise à jour peut potentiellement se faire via un certificat illégitime. Pour l’heure, aucun patch pour ce type de machine (le vendeur a été contacté par Avast mais aucun réponse n’a été donnée…). Assignée CVE-2020-15501 depuis le 1er Juillet dernier, la faille concerne les machines à café connectée 2ième génération et qui ne sont plus maintenues logiciellement par le fabricant… A veiller !

 

 

Source : Decoded Avast – 25 Septembre 2020 – Ransomware : intégration depuis un appareil IoT (machine à boisson connectée).

 




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020