Lors de l’examen de babyphones de la marque Nooie, les chercheurs en sécurité de Bitdefender ont découvert de graves défauts. Les pirates pourraient non seulement intercepter le flux vidéo sans autorisation, mais aussi accéder directement au système d’exploitation des caméras et y exécuter du code arbitraire.
Sommaire
Sous la loupe
Les caméras Nooie utilisent le protocole MQTT pour s’annoncer au serveur MQTT et obtenir de celui-ci une URL où envoyer le flux de données vidéo. Le serveur MQTT eu.nooie.com permet un accès sans authentification. En effectuant une requête Subscribe pour le topic /device/init un attaquant obtient tous les identifiants de compte utilisateur et de caméra des appareils actuellement en ligne. Avec d’autres requêtes MQTT, les attaquants pourraient transmettre aux caméras un serveur sous leur contrôle comme destination du flux vidéo.
La fonction de traitement de la commande transmise dans la caméra copie le paramètre URL dans un tampon de 32 octets. Sans contrôle préalable de la longueur du paramètre. Il en résulte un dépassement de mémoire tampon basé sur la pile, qui peut permettre à un code introduit de s’exécuter. Dans l’exemple, les analystes de Bitdefender ont fait écouter un netcat sur la caméra, qui met à disposition des utilisateurs un shell root.
En outre, les chercheurs en sécurité ont pu espionner les données d’accès au nuage AWS, dans lequel les caméras peuvent télécharger et stocker des enregistrements. Les données d’accès permettaient d’accéder à l’ensemble du bucket AWS et pas seulement à la zone de chaque caméra.
Statut actuel
Au moins les caméras PC100A (Nooie Cam 360) version 1.3.88 et IPC007A-1080P (Nooie Cam Indoor 1080p) avec firmware 2.1.94 sont concernées, mais probablement aussi d’autres modèles. En novembre 2020, les chercheurs en sécurité ont tenté d’entrer en contact avec Nooie. Cela a fonctionné après quelques difficultés initiales, mais l’entreprise n’a pas réagi davantage après l’envoi de détails et de code de preuve de concept. Il en a été de même en octobre 2021, lorsque les informaticiens ont relancé la question.
Bitdefender donne donc dans son message de sécurité quelques indications sur la manière de sécuriser au moins un peu les appareils lorsque le fabricant ne fournit pas de mises à jour. Les utilisateurs à domicile devraient toujours garder un œil sur leurs appareils Internet of Things et les isoler autant que possible du réseau local ou du réseau invité. Pour ce faire, ils pourraient par exemple utiliser un SSID WLAN spécifique pour les appareils IoT.
C’est également une bonne idée pour d’autres caméras et appareils de l’Internet des objets. De nombreux appareils sont actuellement commercialisés avec un firmware qui n’est jamais mis à jour. L’UE met un terme à cette situation à partir de ce mois-ci avec la directive actualisée sur les équipements hertziens ; les fabricants ont toutefois encore 30 mois pour se mettre en conformité.