dimanche, décembre 22, 2024

Les caméras de sonnette à 30 $ peuvent être facilement détournées, selon Consumer Reports

Agrandir / L’enquête de Consumer Reports suggère que, si ce livreur maintient enfoncé le bouton de cloche, puis s’associe à l’aide de l’application d’Eken, il pourrait voir si d’autres livreurs obtiennent une réponse aussi superficielle.

Éken

Les caméras de sonnette vidéo ont été banalisées au point où elles sont disponibles pour 30 à 40 dollars sur des marchés comme Amazon, Walmart, Temu et Shein. Le coût réel d’en posséder un pourrait cependant être bien plus élevé.

Consumer Reports (CR) a publié les résultats d’une enquête de sécurité sur deux marques de sonnettes économiques, Eken et Tuck, qui sont en grande partie le même matériel produit par le groupe Eken en Chine, selon CR. Les caméras sont ensuite revendues sous au moins 10 autres marques. Les caméras sont configurées via une application mobile commune, Aiwit. Et les caméras partagent autre chose, affirme CR : « des failles de sécurité troublantes ».

La procédure d'appairage d'une des caméras de sonnette d'Eken, qui laisse une certaine marge de manœuvre à un acteur malveillant.
Agrandir / La procédure d’appairage d’une des caméras de sonnette d’Eken, qui laisse une certaine marge de manœuvre à un acteur malveillant.

Éken

Parmi les vulnérabilités de la caméra citées par CR :

  • Envoi d’adresses IP publiques et de SSID (noms) Wi-Fi sur Internet sans cryptage
  • Prise de contrôle des caméras en les mettant en mode appairage (ce que vous pouvez faire à partir d’un bouton frontal sur certains modèles) et en les connectant via l’application Aiwit
  • Accès aux images fixes du flux vidéo et à d’autres informations en connaissant le numéro de série de la caméra.

CR a également noté que les caméras Eken n’avaient pas de code d’enregistrement FCC. Plus de 4 200 exemplaires ont été vendus en janvier 2024, selon CR, et portaient souvent le label Amazon « Overall Pick » (comme l’a fait un modèle lorsqu’un écrivain d’Ars l’a regardé mercredi).

« Ces sonnettes vidéo provenant de fabricants peu connus présentent de graves vulnérabilités en matière de sécurité et de confidentialité, et elles ont maintenant trouvé leur chemin sur les principaux marchés numériques tels qu’Amazon et Walmart », a déclaré Justin Brookman, directeur de la politique technologique chez Consumer Reports, dans un communiqué. « Les fabricants et les plateformes qui vendent les sonnettes ont la responsabilité de garantir que ces produits ne mettent pas les consommateurs en danger. »

CR a indiqué qu’elle avait contacté les vendeurs auprès desquels elle avait trouvé les sonnettes à vendre. Temu a déclaré à CR qu’il arrêterait les ventes de sonnettes, mais « des sonnettes d’apparence similaire, voire identiques, restaient sur le site », a noté CR.

Un représentant de Walmart a déclaré à Ars que toutes les caméras mentionnées par Consumer Reports, vendues par des tiers, avaient désormais été supprimées de Walmart. Le représentant a ajouté que les clients peuvent avoir droit à des remboursements et que Walmart interdit la vente d’appareils nécessitant un identifiant FCC et qui n’en ont pas.

Ars a contacté Amazon pour commentaires et mettra à jour ce message avec de nouvelles informations. Un e-mail envoyé à la seule adresse disponible sur le site Web d’Eken a été renvoyé et n’a pas pu être livré. Les comptes de réseaux sociaux de l’entreprise ont été mis à jour pour la dernière fois il y a au moins trois ans.

Les chercheurs de Consumer Reports affirment avoir trouvé des références de fichiers JPEG transmises en clair sur le réseau, qui pourraient ensuite être consultées sans authentification dans un navigateur.

Les chercheurs de Consumer Reports affirment avoir trouvé des références de fichiers JPEG transmises en clair sur le réseau, qui pourraient ensuite être consultées sans authentification dans un navigateur.

Les rapports des consommateurs

CR a divulgué des vulnérabilités à Eken et Tuck concernant ses conclusions. Les divulgations notent la quantité de données envoyées sur le réseau sans authentification, y compris les fichiers JPEG, le SSID local et l’adresse IP externe. Il note qu’après qu’un utilisateur malveillant a réappairé une sonnette avec un code QR généré par l’application Aiwit, il a un contrôle total sur l’appareil jusqu’à ce qu’un utilisateur voie un e-mail d’Eken et récupère la sonnette.

À quelques exceptions près, les sonnettes vidéo et autres caméras IoT ont tendance à s’appuyer sur des connexions cloud pour diffuser et stocker des images, ainsi qu’informer leurs propriétaires des événements. Cela a conduit à des problèmes notables en matière de confidentialité et de sécurité. Il a été constaté que les sonnettes Ring transmettaient les informations d’identification Wi-Fi en clair fin 2019. Eufy, une société qui commercialisait ses offres « Pas de nuages », téléchargeait des vignettes faciales sur des serveurs cloud pour envoyer des alertes push et s’est ensuite excusée pour cela et d’autres vulnérabilités. Le fournisseur de caméras Wyze a récemment révélé que, pour la deuxième fois en cinq mois, des images et des flux vidéo étaient accidentellement accessibles aux mauvais clients à la suite d’une longue panne.

Image de la liste par Amazon/Eken

Source-147

- Advertisement -

Latest