Une faille de sécurité découverte il y a sept mois dans l’un des meilleures caméras 360 pourrait permettre à quiconque d’accéder et de télécharger des photos et des vidéos capturées par une caméra Insta 360.
Tel que rapporté par Cyberactualité (s’ouvre dans un nouvel onglet)un utilisateur de Reddit a fait un post (s’ouvre dans un nouvel onglet) sur le subreddit Insta 360 en janvier de cette année dans lequel ils ont révélé qu’ils avaient découvert une grave vulnérabilité dans le Insta360 Un X2 caméra.
Apparemment, lorsque la caméra est allumée, « elle diffuse toujours un signal Wi-Fi 5G nommé ‘One X2 XXXXXX.OSC’ où le X marque les derniers caractères du numéro de série de votre caméra ». Cela permet aux utilisateurs de se connecter à leurs caméras Insta360 via Wi-Fi, mais la faille permet à n’importe qui d’autre de le faire également.
Dans le même temps, le mot de passe à huit symboles composé d’un seul numéro est le même pour tous les appareils et, en raison des limitations du micrologiciel, les utilisateurs ne peuvent pas modifier leurs mots de passe.
Un moyen facile d’infecter les utilisateurs avec des logiciels malveillants
L’utilisateur de Reddit a également découvert qu’en suivant une simple URL avec une adresse IP de la caméra, il pouvait accéder et télécharger des photos et des vidéos directement depuis un navigateur.
Cela permet d’obtenir un accès root à la caméra via Wi-Fi. À partir de là, un attaquant disposant d’outils de base pourrait mettre malware sur la carte SD de l’appareil photo qui pourrait ensuite être facilement transféré sur leur ordinateur lorsqu’ils le branchent.
Contrairement à d’autres infections de logiciels malveillants, les utilisateurs peuvent même ne pas savoir que leurs appareils ont été infectés car ils n’ont visité aucun site suspect ou téléchargé de contenu malveillant sur leurs appareils.
Toujours non patché
Même si cette faille a été découverte il y a sept mois, Insta360 n’a pas encore publié de correctif malgré le fait que la société basée à Shenzen est probablement au courant du problème.
Dans le post Reddit, un autre utilisateur a souligné comment un attaquant pouvait facilement cibler les propriétaires d’Insta360 en utilisant simplement un ordinateur portable exécutant un script python.
Bien que Cybernews ait contacté Insta360 concernant la faille, le média n’a pas encore reçu de réponse de la société. Tom’s Guide a également contacté Insta360 et mettra à jour cet article quand et si nous avons des nouvelles de la société.
Comment rester en sécurité jusqu’à ce qu’un correctif soit publié
Jusqu’à ce que ce problème soit résolu une fois pour toutes, il peut être préférable de laisser votre caméra Insta360 à la maison lorsque vous voyagez.
Bien que vous puissiez toujours l’utiliser dans votre maison, un attaquant pourrait lancer une « attaque au volant » et infecter votre caméra avec des logiciels malveillants.
Si vous craignez vraiment d’être victime d’une attaque potentielle, laisser votre appareil à court de batterie ou retirer complètement la batterie et la ranger dans un placard peut être la chose la plus sûre que vous puissiez faire jusqu’à ce qu’un correctif soit publié.