L’Akuvox E11 est présenté comme un interphone vidéo, mais c’est en fait bien plus que cela. L’appareil connecté au réseau ouvre les portes du bâtiment, fournit des flux vidéo et microphone en direct, prend une photo et la télécharge chaque fois que quelqu’un passe, et enregistre chaque entrée et sortie en temps réel. Le moteur de recherche d’appareils Censys montre qu’environ 5 000 appareils de ce type sont exposés à Internet, mais il y en a probablement beaucoup plus que Censys ne peut pas voir pour diverses raisons.
Il s’avère que cet appareil omnipotent et omniscient est criblé de trous qui offrent de multiples moyens de mettre des données sensibles et des capacités puissantes entre les mains des acteurs de la menace qui prennent le temps d’analyser son fonctionnement interne. C’est précisément ce qu’ont fait les chercheurs de la société de sécurité Claroty. Les résultats sont suffisamment sérieux pour que toute personne qui utilise l’un de ces appareils dans une maison ou un bâtiment devrait s’arrêter de lire cet article, déconnecter son E11 d’Internet et évaluer où aller à partir de là.
Les 13 vulnérabilités découvertes par Claroty incluent une authentification manquante pour les fonctions critiques, une autorisation manquante ou incorrecte, des clés codées en dur qui sont chiffrées à l’aide de clés accessibles plutôt que chiffrées et l’exposition d’informations sensibles à des utilisateurs non autorisés. Aussi graves que soient les vulnérabilités, leur menace est aggravée par l’incapacité d’Akuvox, l’un des principaux fournisseurs chinois de systèmes d’interphone et d’entrée de porte intelligents, à répondre aux multiples messages de Claroty, du centre de coordination CERT et de la cybersécurité et de la sécurité des infrastructures. Agence sur une période de six semaines. Claroty et CISA ont publié leurs conclusions jeudi ici et ici.
Toutes les vulnérabilités sauf une restent non corrigées. Les représentants d’Akuvox n’ont pas répondu à deux e-mails sollicitant des commentaires sur cet article.
WTF cet appareil fait-il dans mon bureau ?
Les chercheurs de Claroty sont tombés sur le E11 pour la première fois lorsqu’ils ont emménagé dans un bureau avec un préinstallé à la porte. Compte tenu de son accès aux allées et venues des employés et des visiteurs et de sa capacité à espionner et ouvrir les portes en temps réel, ils ont décidé de regarder sous le capot. Le premier drapeau rouge que les chercheurs ont trouvé : les images prises chaque fois qu’un mouvement était détecté à la porte étaient envoyées par FTP non crypté à un serveur Akuvox dans un répertoire que tout le monde pouvait voir et, à partir de là, télécharger les images envoyées par d’autres clients.
« Nous avons été très surpris lorsque nous avons commencé et nous avons vu le FTP », a déclaré Amir Preminger, vice-président de la recherche dans le groupe de recherche Team82 de Claroty, dans une interview. « Nous n’aurions jamais imaginé trouver un FTP en clair. Nous avons d’abord bloqué l’appareil, l’avons coupé de tout, l’avons placé sur sa propre île et l’avons utilisé de manière autonome. Nous sommes en train de le remplacer. »
Pendant que l’analyse se poursuivait, le comportement du serveur FTP a changé. Le répertoire ne peut plus être visualisé, il ne peut donc plus être téléchargé non plus. Cependant, une menace importante continue d’exister, car les téléchargements FTP ne sont pas cryptés. Cela signifie que toute personne capable de surveiller la connexion entre un E11 et Akuvox peut intercepter les téléchargements.
Une autre découverte majeure des chercheurs était une faille dans l’interface qui permet au propriétaire d’utiliser un navigateur Web pour se connecter à l’appareil, le contrôler et accéder aux flux en direct. Alors que l’interface nécessite des informations d’identification pour l’accès, Claroty a trouvé des itinéraires cachés qui donnaient accès à certaines des fonctions Web sans mot de passe. La vulnérabilité, identifiée comme CVE-2023-0354, fonctionne contre les appareils qui sont exposés à Internet à l’aide d’une adresse IP statique. Les utilisateurs le font pour se connecter à distance à l’appareil à l’aide d’un navigateur.
Ce n’est pas la seule vulnérabilité qui permet un accès à distance non autorisé à un E11. L’appareil fonctionne également avec une application téléphonique appelée SmartPlus qui est disponible pour Android et iOS. Il permet l’accès à distance même lorsqu’un E11 n’est pas directement exposé à Internet mais se trouve plutôt derrière un pare-feu utilisant la traduction d’adresses réseau.
SmartPlus communique avec l’interphone à l’aide du protocole d’initiation de session, une norme ouverte utilisée pour les communications en temps réel telles que les appels vocaux et vidéo, la messagerie instantanée et les jeux.