Le fabricant d’un casque de ski et de vélo intelligent populaire a corrigé une faille de sécurité qui permettait de suivre facilement la localisation en temps réel de toute personne portant ses casques.
Livall fabrique des casques connectés à Internet qui permettent à des groupes de skieurs ou de cyclistes de parler entre eux à l’aide du haut-parleur et du microphone intégrés au casque, et de partager leur position en temps réel dans le groupe d’un ami à l’aide des applications pour smartphone de Livall.
Ken Munro, fondateur de la société britannique de tests de cybersécurité Pen Test Partners, a déclaré que les applications pour smartphones de Livall présentaient une simple faille permettant un accès facile aux discussions audio et aux données de localisation de n’importe quel groupe. Munro affirme que les deux applications, une pour les skieurs et une pour les cyclistes, comptent collectivement environ un million d’utilisateurs.
Au cœur du bug, Munro a découvert que toute personne utilisant les applications de Livall pour le chat audio de groupe et partageant sa position devait faire partie du même groupe d’amis, accessible uniquement en utilisant le code numérique à six chiffres de ce groupe.
« Ce code de groupe à 6 chiffres n’est tout simplement pas assez aléatoire », a déclaré Munro dans un article de blog décrivant la faille. « Nous pourrions forcer brutalement tous les identifiants de groupe en quelques minutes. »
Ce faisant, n’importe qui pouvait accéder à l’une des 1 millions de permutations possibles de codes de discussion de groupe.
« Dès que l’on saisit un code de groupe valide, on rejoint automatiquement le groupe », a déclaré Munro, ajoutant que cela s’est produit sans alerter les autres membres du groupe.
« Il était donc simple de rejoindre silencieusement n’importe quel groupe, ce qui nous donnait accès à l’emplacement de n’importe quel utilisateur et la possibilité d’écouter n’importe quelle communication audio de groupe », a déclaré Munro. « La seule façon de détecter un utilisateur de groupe malveillant était de vérifier si l’utilisateur légitime allait vérifier les membres de ce groupe. »
Munro et ses collègues chercheurs en sécurité ne sont pas étrangers à la découverte de failles obscures mais souvent simples dans les produits connectés à Internet, comme les alarmes de voiture, les applications de rencontres et les jouets sexuels. La société a découvert en 2021 que Peloton exposait les données des comptes privés des coureurs en raison d’une fuite d’API, dans laquelle TechCrunch jouait fièrement le rôle de cobaye.
Après avoir contacté Livall, qui lui a demandé plus d’informations, Munro a envoyé des détails sur la faille le 7 janvier, mais n’a pas reçu de réponse et n’a reçu aucun accusé de réception de la part de l’entreprise.
Compte tenu du risque pour les utilisateurs qui ne s’attendent pas à ce que la faille soit corrigée, Munro a alerté TechCrunch de la faille et TechCrunch a contacté Livall pour commentaires.
Lorsqu’il a été contacté par e-mail, le fondateur de Livall, Bryan Zheng, s’est engagé à réparer l’application dans les deux semaines suivant notre e-mail, mais a refusé de supprimer les applications Livall entre-temps.
TechCrunch a conservé ce rapport jusqu’à ce que Livall confirme avoir corrigé la faille dans les mises à jour de l’application publiées cette semaine.
Dans un e-mail, Richard Yi, directeur R&D de Livall, a expliqué que la société avait amélioré le caractère aléatoire des codes de groupe en ajoutant également des lettres et en incluant des alertes pour les nouveaux membres rejoignant les groupes. Yi a également déclaré que l’application permet désormais de désactiver la localisation partagée au niveau de l’utilisateur.