Des chercheurs en sécurité découvrent une porte dérobée dans une montre connectée

Des chercheurs en sécurité ont dévoilé une fonctionnalité de porte dérobée dans des montres pour enfants conçues par la société chinoise Qihoo 360 et vendues en Europe sous la marque Xplora.

L’une des plus grandes menaces de cybersécurité réside dans les vulnérabilités que les entreprises laissent involontairement dans leurs produits. La montre connectée Xplora est différente parce que les chercheurs ont découvert que la fonctionnalité de porte dérobée était délibérément intégrée au produit.

Les entreprises chinoises vendent ce type de montre depuis longtemps, mais Mnemonic est l’une des premières sociétés de sécurité à examiner de plus près les fonctionnalités de l’appareil. La montre est livrée avec un module GPS et se comporte comme un téléphone, permettant aux parents de communiquer rapidement avec leurs enfants. Mais il s’avère que la porte dérobée intégrée à l’appareil qui permet aux parents de contrôler la montre et ses actions est accessible à d’autres parties.

«Pour déclencher la porte dérobée, la connaissance d’une clé de chiffrement secrète est nécessaire», ont déclaré les chercheurs. «Nos recherches nous portent à croire que la fonctionnalité ne peut pas être utilisée sans connaissance de la clé. Cependant, comme le montrera la présentation technique, plusieurs parties ont l’accès nécessaire, notamment Xplora et Qihoo 360.»

Les chercheurs ont trouvé un «service de connexion persistante» qui se lance automatiquement au démarrage et parcourt toutes les applications installées sur la montre lors de l’examen des logiciels installés sur l’appareil. Le service collecte une liste de commandes possibles, permettant aux opérateurs distants d’interagir avec l’appareil. Cela inclut la prise de photos avec l’appareil photo.

Les chercheurs de Mnemonic se sont arrêtés là, mais des marques chinoises similaires permettent aux opérateurs à distance de lancer des appels à l’insu de l’utilisateur. Le plus gros problème est que la même clé utilisée par les parents pour s’authentifier lors du contrôle de la montre est souvent également disponible pour le fabricant de la montre.