0
La vulnérabilité de la sécurité pourrait permettre à des attaquants de prendre le contrôle de neaby Segway.
Image: IOActive
Les failles de sécurité en Segway de l’hoverboard logiciel pourrait être exploité afin de surveiller à distance l’emplacement des utilisateurs, de les verrouiller leurs véhicules, ou d’apporter de l’appareil à l’arrêt et provoquer le coureur à tomber, selon les chercheurs en sécurité.
À l’aide de l’ingénierie inverse, des chercheurs de IOActive trouvé qu’il était possible d’intercepter les communications entre le Ninebot par Segway miniPRO mains-libres, les deux-roues scooter électrique et son compagnon, l’application mobile pour commettre des attentats.
La société a trouvé un attaquant de se connecter à Ninebot scooters à l’aide d’une version modifiée de Nordique UART, une propriété de Bluetooth de service, et désosser le scooter du protocole de communication — le même système utilisé pour le contrôle à distance et les paramètres de configuration — à l’aide de Bluetooth espion. Le NIP de l’utilisateur de l’authentification n’était pas nécessaire pour établir une connexion dans ce cas.
IOActive était capable de désosser le firmware mécanisme de mise à jour, il découvre que Ninebot ne pas faire une vérification de l’intégrité avant d’accepter une mise à jour du firmware. Cela pourrait permettre à des attaquants d’avoir leur propre firmware téléchargé au lieu de cela, leur permettant de modifier le comportement de l’appareil.
Les attaquants pourraient potentiellement changer le NIP de l’utilisateur nombre et le téléchargement d’une mise à jour du microprogramme, verrouillage de leur appareil. Un hacker pourrait également changer les couleurs de LED ou de désactiver le scooter moteur lors de l’utilisation, de l’amener à un arrêt brusque.
“Tant qu’ils ont un appareil avec Bluetooth, [attaquants] peut envoyer des commandes à l’hoverboard et l’utilisation de ces exploits. Ils n’ont pas besoin d’un hoverboard pour effectuer les attaques, mais ils ont besoin pour effectuer la mise à jour du firmware”, a déclaré Kilbridge.
À proximité Segway pourrait même être situées à l’aide de la Ninebot application, comme il indexe l’emplacement de coureurs de la région et de rendre l’information disponible au public.
“Comme vous l’avez monté le hoverboard, le GPS de votre téléphone charger vos données de localisation à Segway serveurs et c’est régulièrement exposée au public. Cela rend plus facile pour weaponise un exploit de ce genre,” Thomas Kilbridge, le IOActive chercheur en sécurité qui a trouvé la vulnérabilité, a déclaré à ZDNet.
Le Segway coureur à proximité de la fonctionnalité sur le Ninebot app.
Image: IOActive
IOActive a révélé les failles de Segway et sa société mère Ninebot, et le scooter fabricant a par la suite mis à jour l’application pour assurer la sécurité des vulnérabilités ont été corrigées.
La société a mis en place micrologiciel de la vérification de l’intégrité, a assuré à l’utilisation de Bluetooth de pré-authentification par clé partagée ou l’authentification par code PIN ainsi que l’utilisation du chiffrement fort pour les communications sans fil, et un mode de couplage comme le seul moyen pour coupler un scooter avec un téléphone.
Le Ninebot application a également été mis à jour afin de protéger le coureur de la vie privée par ne pas s’exposer à leur emplacement à d’autres. IOActive fait l’éloge de la société pour être “très sensible” pour travailler avec elle et de corriger les vulnérabilités.
Les failles de sécurité une fois de plus ouvrir le débat sur la cybersécurité, l’Internet des objets et la sensibilisation des consommateurs autour des appareils connectés. En effet, IOActive précédemment vulnérabilités dans des robots qui pourraient être utilisés pour causer des dommages ou de la conduite d’espionnage.
“Il est important que les consommateurs soient conscients de la connectability des appareils qu’ils possèdent”, a déclaré Kilbridge.
“Du fabricant, du point de vue, il est important critiques pour la sécurité des appareils comme ce que la sécurité doit être vérifié régulièrement et peut-être même des règlements mis en place pour s’assurer que la vulnérabilité comme ce n’est pas dans la nature avant d’être vendus sur le marché,” at-il ajouté.
LIRE PLUS SUR LA CYBERSÉCURITÉ
L’histoire de répéter: Comment l’Ido est de ne pas apprendre la sécurité des leçons de la pastBefore la construction d’une maison intelligente, tenu compte de ces avertissements [CNET]Dix meilleures pratiques pour la sécurisation de l’Internet des objets dans votre organizationInternet de sécurité les Choses: Ce qui se passe lors de chaque appareil est intelligent et que vous ne connaissez même pas?94% pensent que non garantis de l’Ido dispositifs pourraient mener à de “catastrophique” la cybersécurité attaque [TechRepublic]
0