Le verrou intelligent Kwikset Halo avait une faille dans son application compagnon Android qui pouvait permettre à une autre application sur le téléphone de capturer les identifiants de connexion aux serveurs de Kwikset, puis d’utiliser ces informations pour prendre le contrôle du verrou intelligent.
Cette faille a été découverte par des chercheurs de Bitdefender (s’ouvre dans un nouvel onglet)qui en a informé Kwikset le 9 novembre 2021. Kwikset a corrigé la faille avec une mise à jour de l’application Android le 16 décembre 2021.
Si vous êtes propriétaire ou utilisateur d’une serrure intelligente Kwikset Halo, assurez-vous que votre application Android est mise à jour vers la version 1.2.11. L’application iOS de Kwikset ne semble pas être vulnérable à cette faille, ont déclaré les chercheurs de Bitdefender à Tom’s Guide.
Accéder au cloud
La faille était liée à l’accès aux serveurs cloud de Kwikset sur Amazon Web Services, explique un rapport de Bitdefender publié aujourd’hui (6 avril). Les informations d’identification pour accéder aux serveurs pourraient être lues par d’autres applications installées sur le même appareil Android, ont découvert les chercheurs de Bitdefender en utilisant le Drozer (s’ouvre dans un nouvel onglet) outil de vérification de la sécurité des applications.
Le processus n’a pas été si facile. L’application malveillante devrait créer des liens de pointeur qui ont amené l’application Kwikset à exporter les informations d’identification AWS d’un fichier protégé vers un fichier non protégé, où l’application malveillante pourrait ensuite les lire.
Bien sûr, l’application malveillante devrait d’abord être installée par l’utilisateur sur le téléphone, mais ce n’est pas si difficile lorsque des centaines d’applications Android apparemment inoffensives mais en réalité malveillantes sont trouvées dans l’App Store de Google Play chaque année.
La bonne nouvelle est que l’application Android Kwikset Halo était par ailleurs assez solide. La serrure elle-même – qui figure sur notre liste des meilleures serrures intelligentes – ne présentait aucune faille de sécurité que l’équipe Bitdefender a pu trouver, pas plus que les communications entre la serrure et le smartphone couplé.
L’équipe Bitdefender n’a pas été en mesure d’utiliser une attaque « man in the middle » sur le verrou, n’a pas été en mesure de déchiffrer le cryptage du verrou, n’a pas été en mesure de falsifier les mises à jour du micrologiciel et n’a pas été en mesure de voler le mot de passe de l’utilisateur du compte Kwikset. , grâce à l’authentification à deux facteurs activée par défaut.
« La connexion ne peut pas être interceptée par une attaque de l’homme du milieu, car le verrou intelligent vérifie la validité du certificat du serveur », ont déclaré les chercheurs de Bitdefender dans leur article. « Un attaquant ne peut pas se faire passer pour la caméra sur le serveur car il n’a pas connaissance du certificat client stocké dans la mémoire de l’appareil. »