Des failles critiques dans le Zipato Smart Hub permettent aux pirates de pénétrer dans votre maison

Trois vulnérabilités de sécurité dans les hubs connectés de Zipato, dont une critique, permettent aux pirates, une fois combinées, de pénétrer dans le domicile de l’utilisateur en déverrouillant facilement les serrures de portes connectées, écrit TechCrunch.

«Deux vulnérabilités résident dans la conception et la mise en œuvre du mécanisme d’authentification dans l’interface de programmation applicative (Zipato API)», expliquent les chercheurs en sécurité, Chase Dardaman et Jason Wheeler, de Blackmarble. “La troisième vulnérabilité est la clé privée SSH intégrée, qui n’est pas unique et peut être extraite.”

Tout pirate présent sur le même réseau WI-FI que le hub connecté peut profiter de ces failles de sécurité. Pour une description technique détaillée, consultez leur article.

Les vulnérabilités ont été détectées en mars, mais Dardaman et Wheeler voulaient donner au fabricant une chance de régler ces problèmes. Après avoir été informé du risque de piratage, Zipato a immédiatement corrigé les vulnérabilités et cessé de vendre les dispositifs vulnérables du hub ZipaMicro.

Zipato est une société croate qui développe une plate-forme de contrôle et d’automatisation conçue pour protéger la maison connectée «contre le cambriolage, les incendies, les inondations, les fuites de gaz et tout autre événement indésirable», selon leur site Web. Zipato compte 112 000 appareils dans 20 000 foyers dans le monde. La société n’a pas communiqué le nombre officiel de hubs affectés.

La technologie des maisons connectées reste dans une zone grise en matière de sécurité. L’information concernant les hubs Zipato arrive peu de temps après que ZDNet a annoncé que le développeur chinois d’une plate-forme de gestion intelligente pour maison connectée avait révélé des milliards d’enregistrements, dont des informations privées sur les utilisateurs et leurs mots de passe, via un serveur ElasticSearch non sécurisé.

Ajouter un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs requis disposent d'un *