Des pirates pourraient espionner les babyphones Victure – le fabricant ne réagit pas

Selon Bitdefender, des chercheurs en sécurité tentent depuis dix mois d’informer le fabricant de produits IoT tels que les moniteurs pour bébés et les caméras de sécurité Victure d’une vulnérabilité de sécurité critique. Une réaction est toujours en attente. Les chercheurs ont maintenant publié leurs conclusions.

Comme on peut le voir dans un post, c’est surtout le babyphone PC420 qui est concerné. La plateforme Victures Cloud IPC360 serait également vulnérable. Des attaquants distants ont réussi à exploiter la vulnérabilité (CVE-2021-15744 « critique« ), dans le pire des cas, ils pourraient prendre le contrôle total des appareils. Selon les chercheurs, l’accès aux vidéos est également envisageable.

Étant donné que les moniteurs pour bébé de Victure ne sont pas les seuls à stocker des données vidéo dans le nuage, les chercheurs en sécurité supposent que 4 millions d’appareils sont affectés dans le monde. Comme le système d’identification des utilisateurs du nuage est simple, les attaquants pourraient deviner les identifiants valides et les utiliser pour obtenir d’autres informations. Munis de ces informations, ils pourraient accéder aux appareils et désactiver le cryptage, par exemple, écrivent les chercheurs dans un rapport.

Les attaques locales dans le réseau sont censées être encore plus faciles car, entre autres, des données de connexion standard connues sont utilisées. Ainsi, les attaquants pouvaient accéder aux flux vidéo en direct avec relativement peu d’efforts.

Les chercheurs en sécurité affirment avoir contacté Victure pour la première fois en novembre 2020. Même après plusieurs rappels, ils n’auraient reçu aucune réponse à ce jour. En conséquence, il n’y a toujours pas de correctif de sécurité et les appareils restent vulnérables.


(des)

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici